Microsoft, GitHub üzerindeki bazı resmî depolarını zararlı içerik şüphesi nedeniyle geçici olarak devre dışı bıraktı. Şirket, yalnızca 105 saniye süren müdahalenin ardından etkilenen depoları erişime kapatırken olayın yazılım tedarik zincirini hedef alan saldırılarla bağlantılı olabileceği değerlendiriliyor. Yapılan incelemelerin tamamlanmasının ardından tüm depolar yeniden kullanıma açıldı.

Tedarik Zinciri Saldırısı Şüphesi Araştırmaları Derinleştirdi

5 Haziran’da yaşanan olay sırasında Microsoft, Azure, microsoft, Azure-Samples ile MicrosoftDocs organizasyonlarına ait toplam 73 GitHub deposunu çevrim dışına aldı. Şirket, söz konusu depoların “potansiyel zararlı içerik” barındırabileceğine yönelik bulgular nedeniyle bu adımı attığını açıkladı. Güvenlik araştırmacıları ise olayın daha önce gündeme gelen Miasma ya da Shai-Hulud tedarik zinciri saldırısıyla bağlantılı olduğunu değerlendirdi. Teknik analizlerde GitHub tedarik zinciri saldırısı ifadesi de olayın kapsamını tanımlayan başlıklar arasında yer aldı.

OpenSourceMalware platformu, Microsoft’un Azure organizasyonunda bulunan durabletask deposunun mayıs ayında da ele geçirildiğini öne sürdü. Platform, ilk müdahalenin tam anlamıyla temizlenememesi nedeniyle saldırganın yeniden erişim sağlamış olabileceğini iddia etti. Microsoft ise bu değerlendirmeyi doğrulayan resmî bir açıklama paylaşmadı. Olayın ardından GitHub, erişime kapatılan depolar için hizmet şartlarının ihlal edildiğini belirten standart uyarı mesajını gösterdi. Araştırmalarda GitHub zararlı yazılım kampanyası ifadesi de ilgili değerlendirmeler arasında kullanıldı.

Geliştirici Araçları Geçici Olarak Hizmet Dışı Kaldı

Depoların kapatılmasıyla birlikte Azure Functions dağıtımlarında yaygın kullanılan Azure/functions-action bileşenine erişim de kesildi. Çok sayıda geliştiricinin sürekli entegrasyon süreçleri çalışmayı durdururken iş akışları gerekli depoya erişemediği için hata vermeye başladı. Microsoft, daha sonra yaptığı açıklamada olayın şirket içi yönetim süreci kapsamında incelendiğini belirtirken etkilenen tüm depoların temizlenerek yeniden erişime açıldığını duyurdu. Süreç boyunca Azure Functions GitHub Action ifadesi de geliştiricilerin en fazla etkilendiği bileşenlerden biri olarak öne çıktı.

Microsoft sözcüsü, potansiyel zararlı içerik araştırılırken depoların geçici olarak kaldırıldığını, etkilenen içerikleri indirmiş olabilecek sınırlı sayıdaki müşteriye ise doğrudan bilgilendirme yapıldığını açıkladı. Güvenlik uzmanı Adnan Khan ile Cloudsmith araştırmacıları, olayın Red Hat’in npm paketlerini etkileyen Miasma operasyonunun devamı olabileceğini değerlendirdi. Aynı analizlerde saldırganların yapay zekâ geliştirme araçlarını hedef aldıktan sonra Microsoft kaynaklarına yöneldiği ifade edilirken Claude Code, Gemini CLI, VS Code ile Cursor gibi araçların saldırı zincirinde yer aldığı aktarıldı. Güvenlik şirketleri ayrıca hafta sonu Shai-Hulud saldırılarında yeni dağıtım yöntemlerinin kullanıldığını bildirirken geliştiricilere bağımlılık paketlerini sabitlemeleri, yeni sürümleri gecikmeli yüklemeleri ile izole test ortamları kullanmaları tavsiyesinde bulundu. Teknik raporlarda açık kaynak güvenliği ile yazılım tedarik zinciri güvenliği ifadeleri de öne çıkan başlıklar arasında yer aldı.