Geçtiğimiz Mayıs ayında Python Paket İndeksine (PyPI) yüklenen bir avuç kötü amaçlı yazılım paketiyle başlayan bir kötü amaçlı yazılım dağıtım senaryosu GitHub'a yayıldı ve en az 100.000 güvenliği ihlal edilmiş depoya ulaşacak şekilde genişledi.
Güvenlik firması Apiiro'ya göre, kodu bozma girişimi, yasal depoları klonlamayı, bunlara kötü amaçlı yazılım yükleyicileri bulaştırmayı, değiştirilmiş dosyaları aynı adla GitHub'a yüklemeyi, ardından bozulmuş depoyu binlerce kez çatallamayı ve bozulmuş kodu forumlarda ve sosyal medya kanallarında tanıtmayı içeriyor.
Bu nedenle yararlı kod arayan geliştiriciler, yararlı olarak tanımlanan ve ilk bakışta uygun görünen bir depo bulabilir, ancak kişisel verilerinin kötü amaçlı Python kodunu ve ikili bir yürütülebilir dosyayı çalıştıran gizli bir yük tarafından çalınmasına neden olabilir.
Güvenlik araştırmacısı Matan Giladi ve yapay zeka başkanı Gil David bir raporda, "Kötü amaçlı kod (büyük ölçüde BlackCap-Grabber'ın değiştirilmiş bir sürümü) daha sonra farklı uygulamalardan oturum açma kimlik bilgilerini, tarayıcı parolalarını ve çerezleri ve diğer gizli verileri toplayacaktır" dedi. "Daha sonra bunları kötü niyetli aktörlerin C&C (komuta ve kontrol) sunucusuna geri gönderiyor ve uzun bir dizi ek kötü niyetli faaliyet gerçekleştiriyor."
Kötü niyetli kodun Trend Micro analizi, gerçek doğasını gizlemek için nasıl akıllı teknikler kullandığını açıklıyor. Örneğin, kod dinamik olarak kod çalıştırmak için exec işlevini kullandığını "exec kaçakçılığı" olarak adlandırılan bir teknikle gizliyor.
Bu tür saldırılar, manuel incelemeye karşı bir savunma olarak exec işlevini ekran dışında konumlandırmak için yüzlerce boşluk karakteri (521 tane) ekliyor.
GitHub her şeyin yolunda olmadığının farkında olduğunu söylüyor.
GitHub, 420 milyondan fazla depoda geliştirme yapan 100 milyondan fazla geliştiriciye ev sahipliği yapıyor ve geliştiriciler için güvenli ve emniyetli bir platform sağlamayı taahhüt ediyor.
Kabul Edilebilir Kullanım Politikalarımızı ihlal eden içerik ve hesapları tespit etmeye, analiz etmeye ve kaldırmaya adanmış ekiplerimiz var. Manuel incelemeler ve makine öğrenimini kullanan ve sürekli gelişen ve düşmanca taktiklere uyum sağlayan ölçekli tespitler kullanıyoruz. Ayrıca müşterilerimizi ve topluluk üyelerimizi kötüye kullanım ve spam bildirmeleri için teşvik ediyoruz.
GitHub ekibinin açıklaması
Farkındalık ve otomatik tarama çok iyi – ancak Apiiro'dan Giladi ve David, GitHub'ın manuel olarak yüklenenlerin yanı sıra birçok otomatik repo çatalını da gözden kaçırdığını gözlemledi.
"Tüm saldırı zinciri büyük ölçüde otomatikleştirilmiş gibi göründüğünden, hayatta kalan yüzde birlik kısım yine de binlerce kötü niyetli repo anlamına geliyor" diye yazan yazarlar, toplamda kaldırılan repoları da sayarsanız, kampanyanın muhtemelen milyonlarca kötü niyetli klon ve çatal içerdiğini ekliyor.
Ayrıca saldırının ölçeğinin ağ etkilerinden faydalanacak kadar büyük olduğuna, özellikle de yazılımı kullanma niyetinde olmadan kötü amaçlı repoları çatallayan ve kötü amaçlı yazılımı doğrulayıp yaydıklarının farkında olmayan geliştiricilere dikkat çekiyorlar.
Araştırmacılar, GitHub'ın otomatik hesap ve repo oluşturma desteği, kullanıcı dostu API'leri ve yumuşak oran sınırları ve büyüklüğü nedeniyle yazılım tedarik zincirini tehlikeye atmanın etkili bir yolunu sunduğunu söylüyor.
Biden yönetimi, Ulusal Standartlar ve Teknoloji Enstitüsü'nün Siber Güvenlik Çerçevesi 2.0 ve kuruluşların yazılım malzeme listelerini yayınlamalarını sağlama çabaları aracılığıyla daha güçlü yazılım tedarik zinciri güvenliği için baskı yapmıştı. Ancak açıkça görülüyor ki daha yapılacak çok iş var.