
Yetkisiz Erişim İddiaları İnceleniyor
GitHub, “TeamPCP” olarak bilinen tehdit aktörünün platformun dahili kaynak kodlarını ve iç organizasyon yapılarını bir siber suç forumunda satışa çıkarmasının ardından, iç depolarına yetkisiz erişim iddiasıyla ilgili bir güvenlik soruşturması başlattığını açıkladı.
Şirket, mevcut aşamada müşteri depoları, kurumsal hesaplar veya dış kullanıcı verilerinin etkilendiğine dair somut bir bulgu olmadığını belirtti. Ancak olası ikincil faaliyetlere karşı sistemlerin sürekli izlendiği ifade edildi.
Github yaptığı açıklamada: “Şu anda GitHub’ın dahili depolarının dışında (müşterilerimizin işletmeleri, kuruluşları ve depoları gibi) saklanan müşteri bilgilerine yönelik herhangi bir etki olduğuna dair bir kanıtımız olmasa da, olası sonraki faaliyetler için altyapımızı yakından izliyoruz.” ifadelerini kullandı.
Saldırının İddia Edilen Kapsamı ve Tehdit Aktörü
Dark web kaynaklarına göre TeamPCP, GitHub’a ait yaklaşık 3.800–4.000 arası dahili deponun sızdırıldığını iddia etti ve bu verileri en az 50.000 dolar karşılığında satışa çıkardı.
Grubun açıklamalarında bunun bir fidye operasyonu olmadığı, verilerin satılamaması durumunda ise ücretsiz olarak sızdırılacağı yönünde ifadeler yer aldı. Ayrıca grubun kısa vadede “emeklilik” planlarından bahsetmesi, operasyonun motivasyonunun finansal ve prestij odaklı olabileceğine işaret ediyor.
TeamPCP: “Her zaman olduğu gibi, bu bir fidye değil. GitHub’dan haraç almak umurumuzda değil, bir alıcı bulursak verileri kendi tarafımızda imha ederiz, emekliliğimiz yakında olacak gibi görünüyor, bu yüzden alıcı bulunmazsa verileri ücretsiz olarak sızdırırız. ”
Saldırı Vektörü: Çalışan Cihazı ve VS Code Eklentisi
GitHub, olayın bir çalışan cihazında tespit edilen kötü amaçlı bir Visual Studio Code (VS Code) eklentisi üzerinden başladığını açıkladı.
Söz konusu eklenti üzerinden erişim sağlanarak iç sistemlere yönelik bir güvenlik açığı zinciri oluşturulduğu, bunun da kimlik bilgisi sızdırma ve erişim genişletme süreçlerini tetiklediği değerlendiriliyor.
Şirket ayrıca kritik gizli bilgilerin (credentials kimlik doğrulama bilgileri), token’lar vb.) düzenli olarak yenilendiğini ve en yüksek yetkiye sahip erişimlerin öncelikli olarak rotasyona alındığını bildirdi.
Kimlik Bilgisi Sızıntısı ve PyPI Token Zinciri
Wiz tarafından yapılan teknik değerlendirmeye göre saldırgan:
- Önce bir GitHub hesabını ele geçirdi.
- Ardından erişimi olan bir depodan “secret” bilgilerini çıkardı.
- Bu bilgiler üzerinden PyPI (Python Package Index) token erişimi elde etti.
- Böylece yazılım tedarik zincirine doğrudan müdahale edebilecek bir kanal oluşturdu.
Bu yapı, klasik bir “tekil hesap ihlali” yerine çok aşamalı bir tedarik zinciri saldırısı (supply chain compromise) modeline işaret ediyor.
GitHub’ın Resmî Açıklaması ve Risk Azaltma Önlemleri
Microsoft çatısı altındaki GitHub, yaptığı açıklamada olayın yalnızca dahili depolarla sınırlı olduğunu ve müşteri verilerine dair bir sızıntı tespit edilmediğini yineledi.
Şirketin aldığı önlemler arasında:
- Kritik kimlik bilgilerinin rotasyonu
- Yetkili erişimlerin yeniden yapılandırılması
- Log ve erişim izleme sistemlerinin güçlendirilmesi
- Tedarik zinciri kaynaklı risklerin analiz edilmesi
bulunuyor.





