Bilgisayar korsanları, GitHub hesaplarını ihlal ediyor ve geliştiricilerin kimlik doğrulama sırlarını ve şifrelerini çalmak için bağımlı katkılar olarak gizlenmiş kötü amaçlı kodlar ekliyor.
Kampanya, Araştırmacılar'ın bağımsız olarak ortaya çıkması için sahte yüzlerce kamu ve özel depo üzerinde alışılmadık taahhütleri keşfettikleri Temmuz 2023'te ortaya çıktı.
Github tarafından sağlanan projeleri savunmasız bağımlılıklar için tarayan ve daha sonra güncellenmiş sürümleri yüklemek için otomatik olarak çekme istekleri sunan otomatik bir araçtır.
Bugün CheckMarx tarafından bildirildiği gibi, bu sahte bağımlılık katkıları, saldırganların projenin sırlarını çalmak için kötü amaçlı kod enjekte etme hedefi ile çalıntı GitHub erişim belirteçleri kullanılarak mümkün oldu.
Saldırı, saldırganların bir şekilde Hedeflerinin Kişisel GitHub Erişim Jetonları'nı elde etmesiyle başladı.
Tehdit aktörleri daha sonra kullanıcı hesabı "bağımlı [bot]" tarafından görünen "düzeltme" başlıklı sahte taahhüt mesajları oluşturmak için otomatik komut dosyaları kullanıyor gibi görünüyor.
Bu taahhütler, aşağıdaki iki eylemi gerçekleştiren projeye kötü amaçlı kod tanıtıyor:
Sırlar, etkilenen depodaki her kod push olayında tetiklenen yeni bir iş akışı olarak GitHub eylem dosyası "hook.yml" eklenerek elde edilir.
Parola çalma bileşeni, aşağıdaki komut dosyasını uzak bir siteden yükleyen tüm JavaScript (.js) dosyalarının sonuna gizlenmiş JavaScript enjekte eder. Bu komut dosyası, 'şifre' türünün herhangi bir form girişinden şifreleri çalmak için form gönderimlerini izleyecektir.
Birçok tehlikeye atılan jeton da özel depolara erişim sağladığı için, saldırı hem kamu hem de özel GitHub depolarını etkiledi.
CheckMarx'ın analistleri bazı kurbanlardan gelen kütükleri incelediler ve hesaplarının çalınan patlar (kişisel erişim belirteçleri) kullanılarak tehlikeye atıldığını buldular.
Bu jetonlar, geliştiricinin bilgisayarlarında yerel olarak saklanır ve 2FA (iki faktörlü kimlik doğrulama) adımlarından geçmeden GitHub'a giriş yapmak için kullanılabilir.
"Ne yazık ki, jetonun erişim günlüğü etkinliği hesabın denetim günlüğünde görünmez. Bu nedenle, jetondan ödün verdiyseniz, erişim günlükleri eksik olduğu için kesin olarak bilemezsiniz."
Siber güvenlik firması, saldırganların bu jetonları çaldığı kesin yollar üzerinde somut bir sonuca ulaşmasa da, bunun muhtemelen geliştiricinin cihazına kötü niyetli bir paket aracılığıyla tanıtılan kötü amaçlı bir enfeksiyon yoluyla olabileceğini varsayıyorlar.
Uzaklaştırılan kullanıcıların çoğu Endonezya'dan geliyor ve bu demografiye göre uyarlanmış hedefli bir saldırı ima ediyor. Ancak, mevcut kanıtlar tema hakkında özel ayrıntılar sağlamaz.
Bu saldırılara karşı savunmak için önerilen bir önlem, GitHub'ın her kullanıcıyı belirli izinlerle sınırlayan ince taneli kişisel erişim belirteçlerine geçmek, böylece uzlaşma durumunda riskleri azaltmaktır.
Kötü niyetli PYPI ve NPM paketleri akışı ile çalınan SSH tuşları
Sahte Bitwarden Siteleri Yeni Zenrat Şifre Çalma Kötü Yazılım
Python'da Python Bootcamp Paketi ile 74 $ ile hız kazanın
Github Passkeys genellikle şifresiz işaretler için mevcut
Transunion, saldırıya uğradığını reddediyor, bağlantılar sızdırılan verileri 3. tarafa
Kaynak: Bleeping Computer