Binlerce GitHub deposu, bugün keşfedilen bir yazılım mühendisi tarafında kötü amaçlı yazılımları içerecek şekilde değiştirilmiş klonlarıyla kopyalandı. Bu gelişmeden sonra GitHub, mühendisin raporunu aldıktan sonra kötü amaçlı depoların çoğunu temizledi. Açık kaynak depolarını klonlamak yaygın bir geliştirme uygulaması olsa da ve hatta geliştiriciler arasında teşvik edilse de, bu vaka, saldırganların projelerin kopyalarını oluşturmasını ve bunları kötü niyetli klonlardan şüphelenmeyen geliştiricileri hedeflemek için kullanılıyor.
35.000 GitHub projesi ele geçirilmedi !
Yazılım geliştiricisi Stephen Lacy, GitHub’da yaklaşık 35.000 yazılım deposunu etkileyen “kötü amaçlı yazılım saldırısı” keşfettiğini iddia etti.
Mühendis Lacy’nin “google aramasında bulduğu” açık kaynaklı bir projeyi incelerken, Twitter’da paylaştığı kodda şu URL’yi fark etti:
hxxp://ovz1.j19544519.pr46m.vps.myjino.ru
Kötü amaçlı URL’yi içeren dosyaları gösteren 35.000’den fazla arama sonucu olduğunu gözlemledi. Bu virüslü depolardan ziyade şüpheli dosyaların sayısını temsil ettiği belirtildi. Ayrıca, 35.788 kod sonucundan 13.000’den fazla arama sonucunun ‘redhat-operator-ecosystem’ adı verilen tek bir havuzdan geldiğini keşfedildi.
Kötü amaçlı klonlar, saldırganlara uzaktan erişim sağlıyor
Geliştirici James Tucker , kötü amaçlı URL’yi içeren klonlanmış depoların yalnızca bir kullanıcının ortam değişkenlerini sızdırmakla kalmayıp, ek olarak tek satırlı bir arka kapı içerdiğine dikkat çekti. Ortam değişkenlerinin sızdırılması, saldırganlara API anahtarlarınız, token’ları, Amazon AWS kimlik bilgileriniz ve uygun olduğunda kripto anahtarlarınız gibi hayati bilgileri sağlayabiliyor. Bu gelişmerlerden sonra GitHub’ın birkaç saat önce kötü niyetli klonları platformundan kaldırdığı görüldü. GitHub’ın Güvenlik ekibi de bir bildiri yayınladı:
Kaynak: bleepingcomputer.com