Teknoloji dünyasının kalbinin attığı GitHub platformunda endişe verici bir gelişme yaşandı. Bir yazılımcının kullandığı Visual Studio Code eklentisinin zararlı yazılımla ele geçirilmesi sonucu, binlerce GitHub deposuna sızıldığı doğrulandı. GitHub'dan yapılan resmi açıklamaya göre, olay dün tespit edilip kontrol altına alındı. Kötü amaçlı eklenti sürümü mağazadan kaldırıldı, etkilenen cihazlar izole edildi ve detaylı bir inceleme başlatıldı.
Bu gelişme, TeamPCP adlı hacker grubunun bu hafta başında siber suç forumlarında yaptığı iddiaların ardından geldi. Grup, yaklaşık 4.000 özel GitHub deposuna erişim sağladığını ve bu depolardaki kaynak kodları ile diğer özel verileri çaldığını öne sürdü. Hackerlar, çalıntı verileri 50.000 dolar karşılığında satmak istediklerini ve alıcı çıkmaması halinde verileri kamuoyuna sızdırmakla tehdit ettiklerini belirttiler.
GitHub'ın mevcut değerlendirmelerine göre, saldırı yalnızca GitHub'a ait dahili depoları etkiledi. Ancak hackerların yaklaşık 3.800 depoya erişim sağladığı yönündeki iddiaları, elde edilen bulgularla tutarlı görünüyor. Şirket, olası riskleri azaltmak amacıyla kritik şifreleri ve kimlik bilgilerini yenilediğini ve sızma girişimlerine karşı logları incelemeye devam ettiğini bildirdi.
TeamPCP grubunun geçmişte GitHub, PyPI, npm ve Docker gibi platformları hedef alan çeşitli saldırılarla ilişkilendirildiği biliniyor. Bu olay, son yıllarda giderek yaygınlaşan ve zararlı yazılım bulaştırmak için etkili bir yöntem haline gelen kötü amaçlı Visual Studio Code eklentileri konusundaki endişeleri de yeniden alevlendirdi.
Visual Studio Code eklentileri, yazılımcıların çalışma ortamlarına entegre olan ve yerel dosyalara, terminale, kimlik doğrulama bilgilerine ve bulut araçlarına erişebilen programlar olarak işlev görüyor. Microsoft ve eklenti yayıncıları çeşitli güvenlik önlemleri alsa da, geliştiricilerin hata ayıklama, otomasyon, yapay zeka destekli kodlama ve iş akışı entegrasyonları gibi amaçlarla üçüncü taraf eklentileri sıkça kullanması, bu ekosistemi saldırganlar için cazip bir hedef haline getiriyor.
GitHub özelinde, ele geçirilen eklentinin saldırganlara yazılımcının cihazında bir giriş noktası sağladığı ve bu sayede dahili depolara ve mühendislik sistemlerine erişim imkanı sunduğu düşünülüyor. Bu durum, GitHub'ın genel platformuna veya müşteri depolarına sınırsız erişim anlamına gelmese de, dahili depolarda dağıtım araçları, altyapı betikleri, güvenlik iş akışları, dahili API'ler ve henüz yayınlanmamış ürün özellikleri gibi değerli operasyonel veriler bulunabilir. Büyük teknoloji şirketlerinin altyapılarını binlerce küçük depoya ayırdığı düşünüldüğünde, "3.800 depo" ifadesi her zaman 3.800 büyük bağımsız ürüne denk gelmeyebilir.
GitHub, etkilenen dahili depolar dışındaki müşteri verilerinin herhangi bir şekilde tehlikeye girdiğine dair bir kanıt olmadığını ve şu anda genel GitHub depolarının veya kullanıcıların özel depolarının geniş çapta ifşa edildiğine dair bir belirti bulunmadığını belirtti.
Bu olay, doğrudan son kullanıcıları hedeflemek yerine yazılımcıları ve onların araçlarını hedef alan yazılım tedarik zinciri saldırılarındaki artışa dikkat çekiyor. Günümüz geliştirme ekosistemleri, VS Code eklentileri, npm paketleri, PyPI kütüphaneleri, Docker konteynerleri ve yapay zeka destekli kodlama araçları gibi üçüncü taraf bileşenlere büyük ölçüde bağımlı. Bu durum, hemen her katmanda yaşanacak bir güvenlik açığının kritik altyapıyı tehlikeye atabileceği anlamına geliyor. Yılın başlarında da, görünmez Unicode karakterler kullanan zararlı paketlerin GitHub depoları ve VS Code projeleri genelinde bulunduğu keşfedilmişti. Bu da güvenilir geliştirici ekosistemlerinin kötüye kullanımının arttığını gösteriyor.
