Saldırgan GitHub'ın iç depolarına nasıl erişim sağladı?

Bir GitHub çalışanı kötü amaçlı bir Visual Studio Code uzantısı yükledi; bu uzantı saldırgana geliştiricinin ortamına, kimlik bilgileri, kimlik doğrulama belirteçleri ve ağ bağlantıları dahil olmak üzere erişim sağladı. Saldırgan bu tek giriş noktasından iç depolara ulaşıp onları dışarı çıkarabildi.

İhlalden kim sorumlu ve çalınan verilerle ne yaptılar?

Kendine TeamPCP adını veren bir tehdit aktörü grubu sorumluluğu üstlendi ve ardından çalınan depoları bir siber suç forumunda satışa çıkardı; bu durum finansal motivasyona işaret ediyor.

Çalınan depolar ne tür hassas bilgiler içerebilir?

İç depolar; tescilli araçlar, iç altyapı kodu, güvenlik mantığı ve diğer Microsoft hizmetleriyle entegrasyonlar içerebilir. Doğrudan müşteri verisi olmasa bile bu tür kodlar, sonraki saldırılar için kullanılabilecek kimlik doğrulama akışlarını ve sistem sınırlarını açığa çıkarabilir.

Kötü amaçlı VS Code uzantıları neden geliştiriciler için özellikle tehlikeli?

Çoğu geliştirici uzantıları incelemeden yükleyip güveniyor; bu uzantılar dosya sistemleri ve önbelleğe alınmış kimlik bilgileri dahil olmak üzere geliştiricinin ortamının aynısına erişebiliyor. VS Code'un pazaryeri, gelişmiş saldırganların gecikmeli yük teslimi veya gizleme gibi tekniklerle atlatabildiği otomatik taramaya dayanıyor.

GitHub'ın 3.800 Deposu Kötü Amaçlı VS Code Uzantısının Ardından Çalındı

Q: Olayda kaç depo çalındı?

Olay sırasında yaklaşık 3.800 iç GitHub deposu dışarı sızdırıldı.

GitHub'ın 3.800 Deposu Kötü Amaçlı VS Code Uzantısının Ardından Çalındı

Ele geçirilen bir geliştirici aracı, son dönemin en çarpıcı depo ihlallerinden birine yol açtı. GitHub, şu anda bir güvenlik olayını araştırıyor: Kötü amaçlı bir Visual Studio Code uzantısı bir çalışanın cihazına bulaştı ve sonuç olarak yaklaşık 3.800 iç deponun dışarı sızdırılmasına neden oldu. Çalınan kodlar, ardından kendine TeamPCP adını veren bir tehdit aktörü grubu tarafından bir siber suç forumunda satışa çıkarıldı. İç depolara güvenen güvenlik ekipleri ve geliştiriciler için bu olay, geliştirici cihaz güvenliği ile kod deposu ihlal riskinin birbirinden ayrılamaz sorunlar olduğunu çarpıcı biçimde hatırlatıyor.

Kötü Amaçlı Bir VS Code Uzantısı Bir GitHub Çalışanını Nasıl Ele Geçirdi

Visual Studio Code, profesyonel yazılım geliştirmede baskın editör haline geldi ve uzantı pazaryeri son derece geniş. Çoğu geliştirici, uzantılara mobil uygulamalara davrandıkları gibi davranıyor: kur, güven ve devam et. Saldırganların istismar ettiği şey tam da bu varsayım.

Bu olayda, bir GitHub çalışanı truva atına dönüştürülmüş gibi görünen bir VS Code uzantısı yükledi. Yüklendikten sonra kötü amaçlı uzantı, geliştiricinin erişebildiği her şeye erişebildi: dosya sistemi, IDE'de önbelleğe alınmış kimlik bilgileri, etkin kimlik doğrulama belirteçleri ve cihazın sürdürdüğü olası ağ bağlantıları. Bu tek giriş noktasından saldırgan, GitHub'ın iç depolarına ulaşabildi ve önemli miktarda tescilli kodu dışarı çıkarabildi.

Bu teorik bir saldırı yolu değil. Kötü amaçlı paketler ve uzantılar, npm ve PyPI'dan tarayıcı uzantı mağazalarına kadar geliştirici ekosistemlerinde büyüyen bir sorun haline geldi. VS Code'un uzantı pazaryeri büyük ve yaygın kullanılıyor olsa da tarihsel olarak, gelişmiş tehdit aktörlerinin gecikmeli yük teslimi veya gizleme yoluyla atlatabildiği otomatik taramaya dayanıyor.

Ne Çalındı ve TeamPCP'nin Satış İlanı Ne Ortaya Koyuyor

Mevcut bilgilere göre, olay sırasında yaklaşık 3.800 iç GitHub deposu dışarı sızdırıldı. Sorumluluğu üstlenen grup TeamPCP, ardından bu materyali bir siber suç forumunda satışa çıkardı; bu durum, motivasyonun casusluk değil finansal kazanç odaklı olduğuna işaret ediyor.

İlanın ölçeği dikkat çekici. GitHub gibi bir şirketteki iç depolar; tescilli araçlar, iç altyapı kodu, güvenlik mantığı ve diğer Microsoft hizmetleriyle entegrasyonlar içerebilir. Doğrudan müşteri verisi dahil edilmemiş olsa bile iç kod, gelişmiş saldırganların sonraki izinsiz girişleri planlamak için kullanabileceği mimari varsayımları, kimlik doğrulama akışlarını ve sistem sınırlarını açığa çıkarabilir.

Satış ilanının kendisi de önemli bir şeyin işaretini veriyor: İhlal, saldırgan çalınan materyali dışarı çıkarmaya, düzenlemeye ve pazarlamaya vakit bulmadan önce tam anlamıyla kontrol altına alınamadı. Bu sıra, ilk ele geçirmenin kayda değer bir bekleme süresi olduğuna ya da en azından dışarı sızdırmanın tespit ve müdahaleden önce tamamlanacak kadar hızlı gerçekleştiğine işaret ediyor.

Geliştirici Uç Noktaları Neden Depo Güvenliğinin En Zayıf Halkası

Kurumsal kuruluşlar genellikle çevre güvenliğine, ağ izlemeye ve üretim sistemleri etrafındaki erişim kontrollerine büyük yatırım yapar. Çoğu zaman daha az inceleme alan şey ise geliştirici uç noktasının kendisidir; bir yazılım mühendisinin her gün kod yazmak, test etmek ve göndermek için kullandığı dizüstü bilgisayar veya iş istasyonu.

Geliştirici cihazları, taşıdıkları erişim nedeniyle yüksek değerli hedefler. Kimliği doğrulanmış tek bir geliştirici oturumu; iç depolara, CI/CD ardışık düzenlerine, gizli yönetim sistemlerine ve bulut altyapısı konsollarına ulaşabilir. O tek cihazı ele geçirmek, bir saldırgana kurumsal güvenliğin pek çok katmanından geçen, önceden kimliği doğrulanmış bir giriş kartı verir.

Uzantı ve paket tabanlı tedarik zinciri saldırıları bu bağlamda özellikle tehlikeli çünkü normal geliştirici davranışına karışıyorlar. Yeni bir araç yüklemek olağan bir şey. Geliştiriciler, güvenlik ekiplerinin bilinmeyen yürütülebilir dosyalara yaklaştığı gibi her IDE uzantısına potansiyel bir tehdit vektörü olarak yaklaşmak üzere eğitilmiyor. TeamPCP gibi tehdit gruplarının aktif olarak istismar ettiği şey tam da bu tutum boşluğu.

Bu olay daha geniş bir örüntüyü yansıtıyor: Saldırganlar artık doğrudan güvenlik duvarlarını delmeye çalışmıyor. Halihazırda meşru erişime sahip olan güvenilir insan uç noktalarını ele geçiriyorlar.

Katmanlı Savunmalar: İç Kod Erişimini Korumak İçin VPN'ler, Sıfır Güven ve MFA

Hiçbir tek kontrol bu tür saldırıları tamamen engelleyemez; ancak katmanlı savunmalar, bir cihaz ele geçirildiğinde hasar yarıçapını önemli ölçüde azaltabilir.

Sıfır güven ağ erişimi, burada en ilgili mimari dönüşüm. Sıfır güven modelinde cihaz güveni varsayılmak yerine sürekli olarak değerlendirilir. Bir saldırganın geçerli bir oturum belirteci olsa bile anormal davranış (örneğin alışılmadık saatlerde toplu depo klonlama) yeniden kimlik doğrulamayı veya otomatik oturum sonlandırmayı tetikleyebilir. Sıfır güveni güçlü uç nokta tespiti ile eşleştirmek, güvenlik ekiplerine hangi süreçlerin ağ çağrısı yaptığına dair görünürlük sağlar; sahte uzantılar dahil.

Donanıma bağlı anahtarlarla çok faktörlü kimlik doğrulama başka bir engel ekler. Kimlik avına karşı dirençli MFA (FIDO2/geçiş anahtarları), tamamen ele geçirilmiş bir cihazın bile kullanıcıdan fiziksel etkileşim olmadan yeni oturumlarda sessizce kimlik doğrulaması yapamamasını sağlar.

VPN'ler bu yığında özel ve çoğu zaman hafife alınan bir rol üstleniyor. Geliştiriciler iç sistemlere uzaktan erişirken bu trafiği katı kayıt tutmama uygulamalarıyla gizlilik denetiminden geçirilmiş bir VPN üzerinden yönlendirmek; oturum müdahale riskini azaltır ve bir cihazı ya da ağ yolunu kısmen ele geçiren saldırganın kullanabileceği ağ düzeyindeki görünürlüğü sınırlar. Seçenekleri değerlendiren mühendislik ekipleri için Mullvad incelemeye değer: kayıt sırasında e-posta adresi gerektirmiyor, anonim hesap numaraları kullanıyor ve İsveç polisinin baskın düzenleyip ele geçirecek hiçbir şey bulamadığı gerçek dünya koşullarında kayıt tutmama iddiası doğrulandı. Uygulamaları tamamen açık kaynaklı; bu, çalıştırdıkları şeyi denetlemek isteyen geliştirici odaklı ekipler için anlamlı bir özellik.

Bağımsız denetimden geçirilmiş altyapıyı önceleyen ekipler için Private Internet Access, kayıt tutmama iddialarını federal mahkeme süreçlerinde kanıtladı ve üçüncü taraf denetimleriyle desteklenen tamamen açık kaynaklı uygulamalar sunuyor.

VPN'lerin ötesinde, kuruluşlar geliştirici araçları için uzantı izin listesi uygulamalı, kurumsal cihazlara IDE uzantıları yüklenmeden önce kod imzalama veya kurumsal onay gerektirmeli ve toplu dışarı sızdırmayı erken tespit etmek amacıyla depo erişim kalıplarının ayrıntılı denetim günlüklerini tutmalıdır.

Bu Sizin İçin Ne Anlama Geliyor

Eğer bir geliştirici veya iç depolara uzaktan erişen bir mühendislik ekibinin parçasıysanız, bu olay uç nokta durumunuzu gözden geçirmeniz için doğrudan bir işaret.

Uygulanabilir çıkarımlar:

İş makinenizde şu anda yüklü olan her VS Code uzantısını denetleyin. Kasıtlı olarak yüklemediğiniz veya artık aktif olarak kullanmadığınız her şeyi kaldırın.
IDE uzantılarına, bilinmeyen yürütülebilir dosyaları yüklerken uygulayacağınız şüphecilikle yaklaşın. Yüklemeden önce yayıncı doğrulamasını ve inceleme sayısını kontrol edin.
Kuruluşunuzun yönetilen geliştirici cihazlarında uzantı izin listesi uygulaması için savunuculuk yapın.
İç depo erişiminizin yalnızca parola artı SMS değil, kimlik avına karşı dirençli MFA ile korunduğundan emin olun.
Ekibiniz iç sistemlere genel veya kontrolsüz ağlar üzerinden erişiyorsa, sıfır güven uzaktan erişim yığınının bir katmanı olarak gizlilik denetiminden geçirilmiş bir VPN ekleyin.
Güvenlik ekibinizle birlikte toplu depo erişimi veya alışılmadık klonlama davranışı için temel uyarılar oluşturun.

GitHub olayı hâlâ soruşturma aşamasında ve neye erişildiğinin tam kapsamı bir süre daha kamuoyuyla paylaşılmayabilir. Şimdiden açık olan şu: Geliştirici uç noktaları, çoğu kuruluşta yüksek değerli ve yeterince korunmayan bir yüzey oluşturuyor. Bu boşluğu gidermek için eksiksiz bir altyapı yenilemesine gerek yok. Geliştirici iş istasyonuna kendi başına bir güvenlik çevresi olarak davranmakla başlıyor.

GitHub'ın 3.800 Deposu Kötü Amaçlı VS Code Uzantısının Ardından Çalındı

Kötü Amaçlı Bir VS Code Uzantısı Bir GitHub Çalışanını Nasıl Ele Geçirdi

Ne Çalındı ve TeamPCP'nin Satış İlanı Ne Ortaya Koyuyor

Geliştirici Uç Noktaları Neden Depo Güvenliğinin En Zayıf Halkası

Katmanlı Savunmalar: İç Kod Erişimini Korumak İçin VPN'ler, Sıfır Güven ve MFA

Bu Sizin İçin Ne Anlama Geliyor

// SSS

// İlgili