GITHUB’DA SAHTE VS CODE GÜVENLİK UYARILARI GELİŞTİRİCİLERE ZARARLI YAZILIM DAĞITIYOR
GitHub üzerindeki projelerde paylaşılan sahte Visual Studio Code güvenlik uyarıları, geliştiricileri kandırarak zararlı yazılım indirmeye yönlendiriyor. Binlerce depoyu etkileyen organize kampanyada saldırganlar, gerçek araştırmacıları taklit ederek güven kazanmaya çalışıyor.
Siber güvenlik araştırmacıları, GitHub platformunda geliştiricileri hedef alan geniş çaplı bir saldırı kampanyasını ortaya çıkardı. Saldırganların, Visual Studio Code (VS Code) güvenlik açığı uyarısı gibi görünen sahte paylaşımlar aracılığıyla kullanıcıları zararlı yazılım indirmeye yönlendirdiği bildirildi.
Application security firması Socket tarafından yayımlanan raporda, saldırının organize ve otomatik bir operasyon olduğu vurgulandı. Sahte içeriklerin, GitHub’daki “Discussions” (Tartışmalar) bölümüne kısa sürede binlerce depo üzerinde yayıldığı belirtildi.
“Gerçek uyarı gibi görünüyor”
Araştırmacılar, saldırganların paylaşımlarında şu tür başlıklar kullandığını aktardı:
“Severe Vulnerability - Immediate Update Required.”
Bu paylaşımlarda sahte CVE numaraları, aciliyet vurgusu ve bazı durumlarda gerçek geliştiricilerin kimliğine bürünme gibi yöntemlerle güven oluşturulmaya çalışıldığı ifade edildi.
Socket araştırmacıları, kampanyanın boyutuna dikkat çekerek,
“Binlerce depoda neredeyse aynı içeriklerin paylaşılması, bunun izole bir olay değil, koordineli bir spam ve zararlı yazılım dağıtım operasyonu olduğunu gösteriyor.” değerlendirmesinde bulundu.
E-posta bildirimleri üzerinden yayılıyor
GitHub Discussions özelliğinin, takipçilere ve katılımcılara otomatik e-posta bildirimleri göndermesi, saldırının etkisini artıran önemli bir unsur olarak öne çıktı. Bu sayede sahte uyarıların doğrudan geliştiricilerin e-posta kutularına ulaştığı belirtildi.
Paylaşımlarda, sözde güncellenmiş VS Code eklentileri için Google Drive bağlantıları yer aldı. Uzmanlar, bu durumun kullanıcılar için yanıltıcı olabileceğini belirterek,
“Google Drive güvenilir bir platform olarak bilinse de resmi yazılım dağıtım kanalı değildir.” uyarısını yaptı.
Çok aşamalı saldırı zinciri
Zararlı bağlantıya tıklayan kullanıcıların, çerez tabanlı yönlendirme ile drnatashachinn[.]com adresine yönlendirildiği tespit edildi. Burada çalışan JavaScript kodunun:
-
Zaman dilimi
-
Dil ayarları
-
İşletim sistemi bilgisi
-
Tarayıcı verileri
gibi bilgileri topladığı ve saldırgan sunucularına gönderdiği aktarıldı.
Araştırmacılar, bu aşamanın bir trafik yönlendirme sistemi (TDS) olarak kullanıldığını ve yalnızca gerçek hedeflere ikinci aşama zararlı yükün iletildiğini belirtti.
“Resmî kaynaklardan doğrulama şart”
Uzmanlar, benzer saldırıların daha önce de GitHub üzerinden gerçekleştirildiğini hatırlatarak, geliştiricilere şu uyarıda bulundu:
“Güvenlik uyarılarıyla karşılaşıldığında, CVE kayıtları mutlaka NVD, CISA veya MITRE gibi resmî kaynaklardan doğrulanmalıdır.”
Araştırmacılar ayrıca, harici indirme bağlantıları, doğrulanamayan açık numaraları ve toplu etiketlemeler gibi işaretlerin dikkatle incelenmesi gerektiğini vurguladı.
Ajans Expres Gazetesi
