GitHub, geçtiğimiz günlerde 3.800 dahili deposunu tehlikeye atan bilgisayar korsanlarının sisteme, geçen haftaki TanStack npm tedarik zinciri saldırısında ele geçirilen Nx Console adlı VS Code eklentisinin kötü amaçlı sürümü üzerinden eriştiğini açıkladı. Şirketin Güvenlikten Sorumlu Başkanı Alexis Wales, yetkisiz erişimin ardından kritik sırları döndürdüklerini ve müşteri verilerinin çalındığına dair henüz bir kanıt bulunmadığını belirtti. Bu GitHub ihlali nin arkasında daha önce PyPI, NPM ve Docker gibi platformları hedef alan TeamPCP tehdit grubunun olduğu düşünülüyor.

TeamPCP’nin Hedefinde TanStack, Mistral AI ve Nx Console Var

TeamPCP tehdit grubuna atfedilen saldırı, ilk olarak düzinelerce TanStack ve Mistral AI npm paketinin ele geçirilmesiyle başladı. Bu npm tedarik zinciri saldırısı kapsamında saldırganlar, çalınan CI/CD kimlik bilgilerini kullanarak UiPath, Guardrails AI ve OpenSearch gibi diğer projelere de sızdı. Bu gelişmelerin ardından Nx ekibi, yaptığı açıklamada bir geliştiricilerinin yakın zamandaki bir tedarik zinciri güvenlik açığı nedeniyle ele geçirildiğini ve GitHub CLI üzerinden kimlik bilgilerinin sızdırıldığını doğruladı. Nx ekibi ayrıca, Visual Studio Marketplace’te yaklaşık 18 dakika, OpenVSX’te ise 36 dakika boyunca erişilebilen Nx Console 18.95.0’ın kötü amaçlı sürümünün yalnızca 28 ve 41 kez indirildiğini, ancak iki gün içinde yaklaşık 6.000 eklenti etkinleştirmesi kaydedildiğini belirtti.

Kötü amaçlı Nx Console eklentisi, npm, AWS, Kubernetes, GitHub ve GCP/Docker dahil olmak üzere çok çeşitli platformlar için kimlik bilgilerini ve sırları çalmak üzere tasarlanmış bir yük dağıttı. Zehirli yük sayesinde saldırganlar, bir katkıda bulunan olarak GitHub deposunda iş akışları çalıştırabildi. Bu VS Code eklenti güvenliği ihlali, geliştiricilerin yalnızca bir eklenti yüklemesinin bile tüm bir kuruluşun altyapısını nasıl tehlikeye atabileceğini gösteren yeni bir örnek olarak kayıtlara geçti.

👉️ İlginizi Çekebilir: Microsoft macOS Güncellemesi Sonrası Teams Uygulamasında Kapatılamayan Konum Bildirimleri Ortaya Çıktı

GitHub CISO’su Alexis Wales, Çarşamba akşamı yayınladığı blog yazısında, ihlalin resmi Nx Console VS Code eklentisinin kötü amaçlı bir sürümünü içerdiğini doğruladı. Wales, şirketin ele geçirilen cihazı güvence altına aldığını ve etkilenen depoların dışında tutulan müşteri verilerinin henüz çalındığına dair bir kanıt bulunmadığını söyledi. Açıklamasında “Pazartesi günü ve Salı gününe yayılan şekilde kritik sırları döndürdük ve en yüksek etkiye sahip kimlik bilgilerine öncelik verdik” ifadelerini kullanan Wales, günlükleri analiz etmeye, sırların doğrulanmasını sağlamaya ve altyapılarını olası takip faaliyetlerine karşı izlemeye devam ettiklerini ekledi.

TeamPCP tehdit grubu, bu gelişmelerin ardından Breached forumunda GitHub kaynak koduna ve “yaklaşık 4.000 özel depo”ya eriştiklerini iddia ederek çalınan veriler için en az 50.000 dolar talep ediyor. TeamPCP daha önce “Mini Shai-Hulud” adlı tedarik zinciri kampanyasıyla iki OpenAI çalışanını da etkilemişti. Bu tür geliştirici kimlik avı yöntemleri, özellikle büyük teknoloji şirketlerini hedef alan saldırılarda giderek daha sık kullanılıyor.

VS Code Eklentileri Geliştiriciler İçin Büyüyen Bir Güvenlik Tehdidi Oluşturuyor

Bu son olay, resmi VS Code pazarında yıllardır devam eden kötü amaçlı eklenti sorununun sadece en yeni halkası. Geçtiğimiz yıl 9 milyon yüklemesi bulunan çeşitli VS Code eklentileri güvenlik riskleri nedeniyle kaldırılırken, bunlardan 10 tanesi kullanıcılara XMRig kripto madenciliği yazılımı bulaştırmıştı. WhiteCobra adlı tehdit aktörü ise 24 kripto çalma eklentisiyle pazar yerini doldurduktan sonra temel fidye yazılımı yeteneklerine sahip bir eklenti daha mağazaya sızdırmayı başarmıştı.

Ocak ayında ise yapay zekâ tabanlı kodlama asistanları olarak tanıtılan iki kötü amaçlı eklenti, 1,5 milyon yükleme ile Çin’deki sunuculara veri sızdırmıştı. GitHub’ın bulut tabanlı platformu şu anda Fortune 100 şirketlerinin yüzde 90’ı da dahil olmak üzere 4 milyondan fazla kuruluş ve 180 milyondan fazla geliştirici tarafından kullanılıyor. Bu geliştiriciler toplamda 420 milyondan fazla kod deposuna katkıda bulunuyor.