GitHub, bir çalışanın cihazının kötü amaçlı bir Visual Studio Code eklentisi üzerinden ele geçirilmesinin ardından binlerce dahili deposunun ihlal edildiğini resmen doğruladı. Şirket, olayı dün tespit edip sınırlandırdığını, zehirlenmiş eklenti sürümünü VS Code Marketplace’ten kaldırdığını, etkilenen uç noktayı izole ettiğini ve iç olay müdahale sürecini başlattığını açıkladı.
Açıklama, TeamPCP adlı grubun bu hafta başında yaklaşık 4.000 özel GitHub deposuna erişim sağladığını öne sürmesinin ardından geldi. Grup, dahili kaynak kodu ve başka özel verileri dışarı çıkardığını iddia ederken, çalındığı söylenen veriler için en az $50.000 talep ettiğini belirtti. Paylaşıma göre amaç doğrudan fidye istemek değil, verileri alıcılara satmaktı; alıcı çıkmaması halinde depoların kamuya sızdırılacağı da ileri sürüldü.
GitHub’ın mevcut değerlendirmesine göre faaliyet, yalnızca GitHub’a ait dahili depoların dışarı aktarılmasını içeriyor. Şirket, saldırganların yaklaşık 3.800 depoya eriştiği yönündeki iddianın şu ana kadarki bulgularla “genel olarak uyumlu” olduğunu söyledi. Sınırlandırma kapsamında kritik sırlar ve kimlik bilgileri de döndürüldü; log analizi ve olası devam eden etkinliklerin takibi ise sürüyor.
İhlalin müşteri tarafına doğrudan yayıldığına dair bir işaret bulunmuyor. GitHub, etkilenen dahili depolar dışında tutulan müşteri verilerinin zarar gördüğüne dair kanıt olmadığını, ayrıca herkese açık depoların veya platform kullanıcılarının özel depolarının geniş çapta açığa çıktığını gösteren bir bulgu bulunmadığını belirtti.
Bununla birlikte, dahili depoların değeri küçümsenmemeli. Bu tür depolarda dağıtım araçları, altyapı betikleri, güvenlik iş akışları, iç API’ler ve duyurulmamış ürün özellikleri yer alabiliyor. Büyük teknoloji şirketlerinde altyapı çoğu zaman binlerce küçük depoya bölündüğünden, “3.800 repo” ifadesi de mutlaka 3.800 bağımsız büyük ürün anlamına gelmiyor.
Olay, geliştirici araç zincirini hedef alan saldırıların büyüdüğünü bir kez daha gösteriyor. VS Code eklentileri; yerel dosyalar, terminal oturumları, kimlik doğrulama belirteçleri ve bulut araçlarıyla etkileşebildiği için saldırganlar açısından etkili bir giriş noktası olabiliyor. Üçüncü taraf eklentilerin hata ayıklama, otomasyon ve yapay zeka destekli kodlama için yaygın kullanımı da bu ekosistemi daha cazip bir hedef haline getiriyor.
