bencede
New member
Saldırganlar GitHub depolarının kontrolünü ele geçirdi, içeriklerini kopyaladı ve ardından sildi. Bakımcılar, yeniden adlandırılan depolarda yalnızca şantajcıları Telegram aracılığıyla bildirmelerini isteyen bir benioku dosyası buldu.
Duyuru
Görünüşe göre saldırılar Şubat ayından bu yana devam ediyor ve en son olaylar Haziran ayı başlarına kadar uzanıyor. Bilgisayar korsanları muhtemelen oturum açma verilerini kimlik avı yoluyla elde etti.
Kod depoları yeniden adlandırıldı ve silindi
Güvenlik araştırmacısı Germán Fernández, olayı Haziran başında X'te bildirdi. Saldırganlar, etkilenen hesapların depolarını yeniden adlandırdı, içeriklere erişti ve ardından bunları sildi. Depolardaki Benioku dosyasını, verilerin ele geçirildiğini ve saldırganların bir yedek oluşturduğunu belirten kısa bir mesajla değiştirdiler. Aşağıda daha fazla bilginin bulunduğu Gitloker kullanıcısının Telegram hesabına bir bağlantı bulunmaktadır. Gitloker, Telegram profil sayfasında kendisini “siber olay analisti” olarak tanımlıyor.
GitHub'daki Telegram hesabı bağlantısında yapılan bir arama şu anda benioku dosyalarında şantaj notu bulunan 44 açık depoyu gösteriyor. Saldırganlar, verileri silmenin, potansiyel olarak Git'in yerel bir kopyasına sahip olan etkilenen kişilerin ödeme yapması için genellikle yeterli olmadığının farkındadır.
Nisan sayısında şantajcılardan gelen ve son derece kibar bir üslupla, hangi verilerin şantajcıların eline geçtiğini daha ayrıntılı olarak bildiren bir mektup var. Bu, kamuya açıklanmaması gereken son derece hassas bir bilgidir. Ancak 250.000 ABD dolarına eşdeğer olan 250.000 USDT stabilcoin (kripto token Tether) ödemesi karşılığında verileri yayınlamamaya hazırlar.
Kısa Benioku dosyalarının bulunduğu etkilenen GitHub depolarına ek olarak bu sorunda belirli bir ödeme isteği gösterilmektedir.
(Resim: Ekran görüntüsü (Rainald Menge-Sonnentag))
Kimlik bilgileri için kimlik avı
Başka bir tweet'te Fernández, saldırganların oturum açma verilerini kimlik avı yoluyla elde ettiğinden şüpheleniyor. Görünüşe göre bazı GitHub kullanıcıları, GitHub'dan geldiği iddia edilen ve adreste “githubcareers” veya “githubtalentcommunity” içeren sayfalara referans veren e-postalar aldı. Etkilenen kişiler, GitHub oturum açma bilgilerini kullanarak bu sayfalara kaydolmaları gereken güvenlik uyarıları veya iş teklifleri aldı. GitHub'da benzer olayların olduğu tartışma yazıları var.
GitHub'daki hesaplar defalarca saldırıların hedefi oluyor. Çoğu zaman saldırganlar yalnızca bakım sağlayıcılara şantaj yapmakla ilgilenmez, bunun yerine yazılım tedarik zincirine saldırmak için kötü amaçlı kod enjekte eder.
Güvenlik nedeniyle GitHub, uzun süredir kullanıcıları iki faktörlü kimlik doğrulama (2FA) veya geçiş anahtarları kullanarak oturum açmaya teşvik ediyor.
(kendim)
Haberin Sonu
Duyuru
Görünüşe göre saldırılar Şubat ayından bu yana devam ediyor ve en son olaylar Haziran ayı başlarına kadar uzanıyor. Bilgisayar korsanları muhtemelen oturum açma verilerini kimlik avı yoluyla elde etti.
Kod depoları yeniden adlandırıldı ve silindi
Güvenlik araştırmacısı Germán Fernández, olayı Haziran başında X'te bildirdi. Saldırganlar, etkilenen hesapların depolarını yeniden adlandırdı, içeriklere erişti ve ardından bunları sildi. Depolardaki Benioku dosyasını, verilerin ele geçirildiğini ve saldırganların bir yedek oluşturduğunu belirten kısa bir mesajla değiştirdiler. Aşağıda daha fazla bilginin bulunduğu Gitloker kullanıcısının Telegram hesabına bir bağlantı bulunmaktadır. Gitloker, Telegram profil sayfasında kendisini “siber olay analisti” olarak tanımlıyor.
GitHub'daki Telegram hesabı bağlantısında yapılan bir arama şu anda benioku dosyalarında şantaj notu bulunan 44 açık depoyu gösteriyor. Saldırganlar, verileri silmenin, potansiyel olarak Git'in yerel bir kopyasına sahip olan etkilenen kişilerin ödeme yapması için genellikle yeterli olmadığının farkındadır.
Nisan sayısında şantajcılardan gelen ve son derece kibar bir üslupla, hangi verilerin şantajcıların eline geçtiğini daha ayrıntılı olarak bildiren bir mektup var. Bu, kamuya açıklanmaması gereken son derece hassas bir bilgidir. Ancak 250.000 ABD dolarına eşdeğer olan 250.000 USDT stabilcoin (kripto token Tether) ödemesi karşılığında verileri yayınlamamaya hazırlar.
Kısa Benioku dosyalarının bulunduğu etkilenen GitHub depolarına ek olarak bu sorunda belirli bir ödeme isteği gösterilmektedir.
(Resim: Ekran görüntüsü (Rainald Menge-Sonnentag))
Kimlik bilgileri için kimlik avı
Başka bir tweet'te Fernández, saldırganların oturum açma verilerini kimlik avı yoluyla elde ettiğinden şüpheleniyor. Görünüşe göre bazı GitHub kullanıcıları, GitHub'dan geldiği iddia edilen ve adreste “githubcareers” veya “githubtalentcommunity” içeren sayfalara referans veren e-postalar aldı. Etkilenen kişiler, GitHub oturum açma bilgilerini kullanarak bu sayfalara kaydolmaları gereken güvenlik uyarıları veya iş teklifleri aldı. GitHub'da benzer olayların olduğu tartışma yazıları var.
GitHub'daki hesaplar defalarca saldırıların hedefi oluyor. Çoğu zaman saldırganlar yalnızca bakım sağlayıcılara şantaj yapmakla ilgilenmez, bunun yerine yazılım tedarik zincirine saldırmak için kötü amaçlı kod enjekte eder.
Güvenlik nedeniyle GitHub, uzun süredir kullanıcıları iki faktörlü kimlik doğrulama (2FA) veya geçiş anahtarları kullanarak oturum açmaya teşvik ediyor.
(kendim)
Haberin Sonu