GitHub, bir çalışanının sahte bir Visual Studio Code eklentisini yüklemesi sonucunda yaklaşık 3.800 dahili deponun ihlal edildiğini resmen doğruladı. Şirket, adı açıklanmayan truva atıyla enfekte olmuş eklentiyi VS Code pazarından kaldırırken, ele geçirilen cihazı da güvenlik altına aldı. Olayın ardından TeamPCP hacker grubu, çalınan veriler için en az 50.000 dolar talep ederek bir siber suç forumunda ihlali üstlendi.

Tehdit Aktörü TeamPCP Çalınan Veriler İçin 50 Bin Dolar Talep Ediyor

GitHub ihlali sorumluluğunu üstlenen TeamPCP hacker grubu, daha önce GitHub, PyPI, NPM ve Docker gibi geliştirici platformlarını hedef alan büyük tedarik zinciri saldırısı faaliyetleriyle tanınıyordu. Grup kısa süre önce ayrıca “Mini Shai-Hulud” adlı kampanya kapsamında iki OpenAI çalışanını da etkileyen bir saldırı düzenlemişti. TeamPCP üyeleri, Breached siber suç forumunda yaptıkları açıklamada, GitHub kaynak koduna ve yaklaşık 4.000 özel depoya eriştiklerini iddia ederken, ellerindeki verileri en az 50.000 dolara satmayı teklif etti.

👉️ İlginizi Çekebilir: Amazon Türkiye Pazarı İçin Kritik Bulut Altyapısı Atılımını Gerçekleştirdi

Grubun paylaştığı mesajda, “Bu bir fidye talebi değil, GitHub’ı gasp etmekle ilgilenmiyoruz. Tek bir alıcı bulursak verileri kendi tarafımızdan imha ederiz. Alıcı çıkmazsa verileri ücretsiz sızdıracağız” ifadeleri yer aldı. GitHub’ın yaptığı resmi açıklamaya göre, şirket dün bir çalışan cihazında zehirli bir VS Code eklentisi içeren bir ihlali tespit edip anında kontrol altına aldı. VS Code eklentisi güvenliği açısından kritik bir uyarı niteliği taşıyan bu olayda, güvenlik ekipleri kötü amaçlı eklenti sürümünü mağazadan kaldırdı, uç noktayı izole etti ve olay müdahale sürecini başlattı.

GitHub Müşteri Verilerinin Etkilenmediğini Açıkladı

Yapılan ilk değerlendirmelerde, saldırganın iddia ettiği yaklaşık 3.800 depo sayısının şirketin kendi soruşturma bulgularıyla yönetsel olarak tutarlı olduğu belirtildi. GitHub ayrıca, ihlalin yalnızca şirkete ait dahili depoları kapsadığını ve etkilenen depoların dışında tutulan müşteri verilerinin bu olaydan zarar görmediğine dair henüz bir kanıt bulunmadığını vurguladı. Bu geliştirici kimlik avı yöntemi, pazar yerinde tespit edilen ilk kötü amaçlı eklenti vakası olmaktan çok uzakta. Geçtiğimiz yıllarda milyonlarca kez yüklenen çok sayıda zararlı eklentinin geliştirici kimlik bilgilerini ve diğer hassas verileri çalmak için kullanıldığı biliniyor.

Örneğin, geçen yıl 9 milyon yüklemesi bulunan VS Code eklentileri güvenlik riskleri nedeniyle kaldırılırken, meşru geliştirici araçları gibi görünen 10 eklenti daha kullanıcılara XMRig kripto madenciliği yazılımı bulaştırmıştı. Yine geçen yıl içerisinde, WhiteCobra adlı bir tehdit aktörü 24 kripto çalma eklentisiyle pazar yerini doldurduktan sonra temel fidye yazılımı yeteneklerine sahip bir eklenti daha mağazaya sızmıştı. Ocak ayında ise yapay zekâ tabanlı kodlama asistanları olarak tanıtılan iki kötü amaçlı eklenti, 1,5 milyon yükleme ile Çin’deki sunuculara veri sızdırmıştı.