GitHub’da kötü amaçlı kod: Bilgisayar korsanları programcıları nasıl hedef alıyor?

GitHub’da sahte projeler içeren 200’den fazla depo keşfettik. Saldırganlar bu depoları kullanarak hırsızları, kırpıcıları ve arka kapıları dağıtıyorlar.

Sahte GitHub depolarındaki kötü amaçlı kod

Bir yere gitmek istediğinizde, her seferinde tekerleği yeniden icat etmeniz ve sıfırdan bir bisiklet yapmanız gereken bir dünya hayal edebiliyor musunuz? Biz de edemiyoruz. Zaten var olan ve mükemmel çalışan bir şeyi neden yeniden icat edelim? Aynı mantık programlama için de geçerlidir: Geliştiriciler her gün rutin görevlerle karşılaşırlar ve kendi tekerleklerini ve bisikletlerini icat etmek yerine (ki bu bile yeterli olmayabilir), açık kaynaklı GitHub depolarından hazır bisiklet kodları alırlar.

Bu çözüm, dünyanın en iyi ücretsiz açık kaynak kodunu saldırılar için yem olarak kullanan suçlular da dahil olmak üzere herkes tarafından kullanılabilir. Bunu destekleyen pek çok kanıt var ve işte en sonuncusu: Uzmanlarımız GitHub kullanıcılarını hedef alan GitVenom adlı aktif bir kötü amaçlı saldırıyı ortaya çıkardı.

GitVenom Nedir?

GitVenom, bilinmeyen aktörlerin; Telegram botları, Valorant oyununu hacklemek için araçlar, Instagram otomasyon yardımcı programları ve Bitcoin cüzdan yöneticileri gibi kötü amaçlı kod içeren sahte projelerle 200’den fazla depo oluşturduğu kötü amaçlı kampanyaya verdiğimiz isimdir. İlk bakışta, tüm depolar yasal görünür. Özellikle etkileyici olan, iyi tasarlanmış README.MD dosyasının (kodla nasıl çalışılacağına dair bir kılavuz), birden fazla dilde ayrıntılı talimatlara sahip olmasıdır. Buna ek olarak saldırganlar, depolarına birden fazla etiket eklemişler.

Saldırganlar birden fazla dilde ayrıntılı talimatlar yazmak için yapay zeka kullandı.

Saldırganlar birden fazla dilde ayrıntılı talimatlar yazmak için yapay zeka kullandı.

Bu depoların görünürdeki meşruiyetini pekiştiren bir diğer gösterge de çok sayıdaki taahhüt. Saldırganların depolarında bunlardan on binlerce var. Saldırganlar elbette ki 200 deponun her birini özgünlüğü korumak için manuel olarak güncellemiyor, sadece birkaç dakikada bir güncellenen zaman damgası dosyalarını kullanıyorlardı. Ayrıntılı dokümantasyon ve çok sayıda taahhüt kombinasyonu, kodun orijinal ve kullanımının güvenli olduğu yanılsamasını yaratıyordu.

GitVenom: İki yıl süren etkinlik

Kampanya uzun zaman önce başlamış; bulduğumuz en eski sahte depo yaklaşık iki yıllık. Bu arada GitVenom; Rusya, Brezilya, Türkiye ve diğer ülkelerdeki geliştiricileri de etkiledi. Saldırganlar çok çeşitli programlama dillerini kullanmış: Python, JavaScript, C, C# ve C++ depolarında kötü amaçlı kodlar bulundu.

Bu projelerin işlevselliği ile ilgili olarak, README dosyasında açıklanan özellikler gerçek kodla bile eşleşmedi; gerçekte, kod iddia ettiği şeylerin yarısını yapmıyor. Ancak bunun “sayesinde” kurbanlar kötü amaçlı bileşenleri indirmeye başlıyorlar. İşte bazıları:

  • js hırsızı: Kullanıcı adlarını ve parolaları, kripto cüzdan verilerini ve tarayıcı geçmişini toplar, çalınan verileri bir .7z arşivinde paketler ve Telegram aracılığıyla saldırganlara gönderir.
  • AsyncRAT: Tuş kaydedici olarak da işlev görebilen açık kaynaklı bir uzaktan yönetim Truva atıdır.
  • Quasar: Açık kaynaklı bir arka kapıdır.
  • Kırpıcı: Panoda kripto cüzdan adreslerini arar ve bunları saldırgan kontrolündeki adreslerle değiştirir. Özellikle, Kasım 2024’te, bu saldırıda kullanılan hacker cüzdanı tek seferlik yaklaşık 5 BTC (çalışmanın yapıldığı tarihte yaklaşık 392.000 ABD Doları) depozito almıştır.

Bu kötü amaçlı kampanyanın ayrıntıları hakkında daha fazla bilgiyi SecureList’te yayınlanan araştırmamızda bulabilirsiniz.

GitHub’da kendinizi kötü amaçlı kodlardan nasıl korursunuz?

Kısacası, en iyi savunma uyanık olmaktır. 100 milyondan fazla geliştirici GitHub’ı kullandığından, saldırganlar muhtemelen bu popüler platform aracılığıyla kötü amaçlı kod yaymaya devam edeceklerdir. Tek soru bunu nasıl yapacakları; on yıl önce kimse saldırganların GitVenom gibi saldırıları bu kadar uzun süre ve bu kadar ısrarla yürütebileceklerini hayal etmiyordu. Bu nedenle, her geliştirici GitHub ile çalışırken siber güvenlik hijyenini korumalıdır.

  • Kodu, var olan bir projeye entegre etmeden önce, analiz edin.
  • Hem bilgisayarlarda hem de akıllı telefonlarda kötü amaçlı yazılım koruması kullanın.
  • Kolay tespit edilemeyecek türden göstergeleri dikkatlice kontrol edin: Katılımcı hesapları, yıldız sayısı (beğeniler) ve proje oluşturma tarihine dikkat edin. Hesap üç gün önce, depo iki gün önce oluşturulmuşsa ve yalnızca bir yıldızı varsa, projenin sahte ve kodun kötü amaçlı olma ihtimali yüksektir.
  • Sohbetlerde, şüpheli kanallarda veya doğrulanmamış web sitelerinde paylaşılan doğrudan GitHub bağlantılarından dosya indirmeyin.
  • Şüpheli bir depo bulursanız, GitHub’a bildirin. Bu, güvenilir bir güvenlik çözümü ile korunmayan başkalarının cihazlarını kurtarabilir.
İpuçları

Spam 101: Spam nedir ve nasıl önlenir?

Geriye bakıp düşündüğümüzde sanki spam internetin kendisi kadar eskiymiş gibi geliyor. Bu yazıda, yıllar boyunca geliştirilen para kazanma amaçlı dolandırıcılıkları ve bugün bunlardan nasıl kaçınılacağını ele alıyoruz.

Başlıklarımızı gelen kutunuza almak için kaydolun
  • Diğer tüm ülkeler için