GitHub Üzerinde Sahte “Güvenlik Uyarısı” Mesajıyla Hesaplar Ele Geçiriliyor
Siber saldırganlar, GitHub kullanıcılarını hedef alan geniş çaplı bir kimlik avı kampanyası başlattı. Yaklaşık 12.000 GitHub deposuna sahte “Güvenlik Uyarısı” bildirimi gönderildi. Bu uyarı, geliştiricileri kötü amaçlı bir OAuth uygulamasına yetki vermeye yönlendirerek hesaplarının ve kodlarının kontrolünü ele geçirmeyi amaçlıyor.
Kullanıcılar Sahte Güvenlik Bildirimi ile Kandırılıyor
Saldırganlar, GitHub üzerinde açtıkları sahte bir “Güvenlik Uyarısı” bildirimiyle kullanıcıları yanıltmaya çalışıyor. Bu bildirimin içeriğinde, kullanıcının GitHub hesabına yeni bir konumdan veya cihazdan giriş yapıldığı iddia ediliyor. Mesajda, sözde şüpheli girişin İzlanda’nın Reykjavik kentinden ve 53.253.117.8 IP adresinden geldiği belirtiliyor.
Siber güvenlik araştırmacısı Luc4m, ilk olarak bu sahte uyarıyı fark etti. Uyarı metninde, kullanıcının şifresini güncellemesi, oturumlarını gözden geçirmesi ve iki faktörlü kimlik doğrulamayı etkinleştirmesi gerektiği söyleniyor. Ancak, bu işlemleri gerçekleştirmek için verilen bağlantılar GitHub’daki bir yetkilendirme sayfasına yönlendiriyor.
Bağlantıya tıklayan kullanıcılar, “gitsecurityapp” isimli kötü amaçlı bir OAuth uygulamasına yetki vermeye yönlendiriliyor. Bu uygulama, aşağıdaki izinleri talep ederek hesap üzerinde tam kontrol elde ediyor:
- Depolar: Hem özel hem de herkese açık depolara tam erişim
- Kullanıcı Profili: Profili okuma ve düzenleme izni
- Organizasyon Bilgileri: Üyelik, proje ve ekip bilgilerini görüntüleme yetkisi
- Tartışmalar: Okuma ve yazma izni
- Gist: GitHub Gist’lerine erişim hakkı
- Depo Silme: Kullanıcının depolarını silme yetkisi
- GitHub Actions Workflows: Çalışan iş akışlarını kontrol etme, güncelleme ve değiştirme yetkisi
Bu kötü amaçlı uygulamaya yetki verildiğinde, OAuth erişim belirteci (token) oluşturuluyor ve saldırganların yönlendirdiği kötü niyetli web sayfalarına gönderiliyor. Bu saldırının GitHub tarafından tespit edilerek önlem alındığı belirtilse de, tehdit hâlâ devam ediyor.
Bu Saldırıdan Etkilenen Kullanıcılar Ne Yapmalı?
Eğer sahte güvenlik uyarısına inanarak kötü amaçlı OAuth uygulamasına yetki verdiyseniz, derhal GitHub ayarlarına girerek uygulamanın erişimini iptal etmelisiniz. Bunu yapmak için şu adımları izleyebilirsiniz:
- GitHub Ayarları > Uygulamalar bölümüne gidin.
- Şüpheli veya tanımadığınız OAuth uygulamalarını kaldırın. Özellikle “gitsecurityapp” isimli uygulamaya dikkat edin.
- Beklenmedik GitHub Actions iş akışlarını ve oluşturulan özel Gist’leri kontrol edin.
- Şifrelerinizi ve erişim belirteçlerinizi değiştirin.
GitHub, saldırıyı tespit ederek önlem almaya çalışıyor. Sorunun kısa sürede giderilmesi bekleniyor.i
