GitHub, salı günü yaptığı açıklamada, saldırganların şirket çalışanlarından birinin cihazını zararlı bir Visual Studio Code eklentisi aracılığıyla ele geçirdiğini ve bu yöntemle şirket içi depolara yetkisiz erişim sağlandığını doğruladı.
Microsoft bünyesinde faaliyet gösteren yazılım geliştirme platformu, saldırının tespit edilmesinin ardından zararlı eklentinin kaldırıldığını, etkilenen uç noktanın izole edildiğini ve olay müdahale sürecinin derhal başlatıldığını açıkladı.
Şirket tarafından yapılan ilk değerlendirmede, ihlalin yalnızca GitHub’ın şirket içi depolarıyla sınırlı olduğu ifade edildi. Açıklamada, müşteri depoları, kurumsal organizasyonlar ve GitHub’ın iç sistemleri dışında depolanan kullanıcı verilerinin etkilenmiş olduğuna dair bir bulgu bulunmadığı belirtildi.
GitHub, saldırganların yaklaşık 3 bin 800 şirket içi depoya erişildiği yönündeki iddialarının, yürütülen soruşturma kapsamında elde edilen verilerle genel olarak örtüştüğünü açıkladı. Saldırının sorumluluğunu TeamPCP isimli tehdit grubunun üstlendiği bildirildi.
Söz konusu grubun ele geçirilen verileri yer altı siber suç forumlarında 50 bin doların üzerinde bir bedelle satışa çıkarmaya çalıştığı öne sürüldü. Grubun iddiasına göre sızdırılan veriler arasında platforma ait özel kaynak kodları ile yaklaşık 4 bin özel depoya ait dahili organizasyon dosyaları bulunuyor.
GitHub, ihlalin tespit edilmesinin ardından kritik erişim bilgilerini hızla yenilediğini açıkladı. Şirket, en yüksek risk taşıyan gizli bilgilerin öncelikli olarak değiştirildiğini, günlük kayıtlarının analiz edilmeye devam ettiğini ve ikinci aşama saldırı faaliyetlerine karşı sistemlerin izlendiğini duyurdu.
Siber güvenlik uzmanları, GitHub’ın kullandığı “müşteri verilerinin etkilendiğine dair kanıt bulunmuyor” ifadesinin dikkat çekici olduğunu belirtti. Uzmanlara göre bu ifade, müşteri verilerinin kesin olarak güvende olduğu anlamına gelmiyor; yalnızca soruşturmanın sürdüğünü ve etkinin tam boyutunun henüz netleşmediğini gösteriyor.
Uzmanlar ayrıca şirket içi depolara erişimin ciddi sonuçlar doğurabileceğine dikkat çekti. Dahili depoların genellikle altyapı yapılandırmaları, dağıtım komut dosyaları, iç API dokümantasyonları, test ortamı erişim bilgileri, özellik bayrakları, izleme sistemleri ve belgelenmemiş servisleri içerdiği belirtildi. Bu nedenle kaynak kodlarına erişimin, doğrudan müşteri verilerine ulaşılmasa bile sistem mimarisinin ayrıntılı bir haritasını ortaya çıkarabileceği ifade edildi.
Güvenlik araştırmacıları, GitHub’ın “ikincil faaliyetleri izlemeye devam ediyoruz” açıklamasının da önemli olduğunu vurguladı. Modern siber saldırıların çoğunda ilk erişimin ardından keşif, yetki yükseltme, kalıcılık sağlama ve ikinci aşama hedefli saldırıların geldiğine dikkat çekildi.
GitHub, soruşturmanın tamamlanmasının ardından daha kapsamlı bir olay raporu yayımlayacağını açıkladı. Şirket ayrıca kullanıcıların, müşteri depolarının doğrudan etkilenmediği düşünülse bile, depolarda bulunan API anahtarlarını tedbir amacıyla gözden geçirmeleri ve yenilemeleri yönünde uyarıda bulundu.
