GitHub, dünya çapında yüz milyonlarca geliştiricinin oluşturduğu neredeyse yarım milyar kod projesine ev sahipliği yapan, yazılım geliştirme için devasa bir merkez görevi görüyor. Platform, geniş erişimi ve faaliyet hacmi göz önüne alındığında, bu örnekte Python tabanlı kötü amaçlı bir kampanya düzenlemek için geniş ağdan yararlanan siber suçlular için bir fırsat sunuyor.
Apiiro'daki güvenlik araştırmacıları yakın zamanda GitHub platformunun yeteneklerinden yararlanmak için tasarlanmış kötü amaçlı yazılım yayan bir kampanyayı ortaya çıkardı. Mayıs 2023'te Python Paket Dizini (PyPI) resmi deposuna "birkaç" kötü amaçlı paketin yüklenmesiyle başlayan saldırı , en az 100.000 GitHub deposunu ve "muhtemelen" milyonlarcasını daha etkileme kapasitesine sahipti.
Apiiro, kötü amaçlı yazılım kampanyasının, kötü niyetli aktörlerin GitHub'ın kod depolarını otomatik ve verimli bir şekilde çatallama yeteneğinden nasıl kolayca yararlanabileceğinin bir göstergesi olduğunu söyledi . Bilinmeyen siber suçlular, ele geçirilen kodu aynı adlarla GitHub'a geri yüklemeden önce mevcut depoları klonlayarak onlara kötü amaçlı yazılım yükleyicileri bulaştırdı.
GitHub, otomatik olarak hesaplar ve depolar oluşturmak için kullanılabilecek geliştirici dostu API'ler ve araçlar sağlıyor ve suçlular, yüklenen kötü amaçlı paketleri binlerce kez çatallamak için bu özellikten yararlandı. Apiiro araştırmacıları, şüphelenmeyen bir geliştiricinin güvenliği ihlal edilmiş bir depo kullandığında, çoğunlukla BlackCap-Grabber'ın değiştirilmiş bir versiyonu olan kötü amaçlı kodun yayılmasına yardımcı olduklarını açıkladı .
Kötü amaçlı yazılım, oturum açma kimlik bilgilerini, tarayıcı parolalarını, çerezleri ve diğer gizli verileri toplamak üzere tasarlanan yüklerini gizlemek için yedi gizleme katmanı kullanıyor. Tamamlandıktan sonra koleksiyon, "uzun bir dizi" ek kötü amaçlı etkinlik gerçekleştirirken siber suçlular tarafından yönetilen bir komuta ve kontrol (C&C) sunucusuna gönderilir.
GitHub, kampanyanın varlığından haberdar olduğunu ve bu tür faaliyetlerle mücadele etmenin söylenenden daha kolay olduğunu doğruladı . Platform, 420 milyondan fazla veri havuzunda yer alan 100 milyondan fazla geliştiriciye ev sahipliği yapıyor ve platformun Kabul Edilebilir Kullanım Politikalarını ihlal eden içerik ve hesapları tespit etmek, analiz etmek ve kaldırmak için çalışan özel ekipler bulunuyor.
GitHub, "düşmanca taktikleri" tespit etmek ve bunlara karşı mücadele etmek için manuel ve makine öğrenimine dayalı inceleme prosedürlerinin kullanıldığını, ancak şirketin görünüşte kendi başarısının kurbanı olduğunu söyledi. Yakın zamanda ortaya çıkarılan saldırının çoğunlukla büyük ölçekte otomatikleştirildiği görülüyor ve GitHub, otomasyonu ve kodun yeniden kullanımını teşvik etmek için tasarlandı. Apiiro, güvenliği ihlal edilen depoların yüzde 1'i hayatta kalsa bile, GitHub'da hâlâ gizlenen binlerce kötü niyetli ancak meşru görünen kod deposunun bulunduğunu açıkladı.
Kaynak:
https://www.techspot.com/news/102113-mo ... cious.html
