GitHub İç Depolarına Yetkisiz Erişim: TeamPCP Kaynaklı Tedarik Zinciri Saldırısı İnceleniyor

Yetkisiz Erişim İddiaları İnceleniyor

GitHub, “TeamPCP” olarak bilinen tehdit aktörünün platformun dahili kaynak kodlarını ve iç organizasyon yapılarını bir siber suç forumunda satışa çıkarmasının ardından, iç depolarına yetkisiz erişim iddiasıyla ilgili bir güvenlik soruşturması başlattığını açıkladı.

Şirket, mevcut aşamada müşteri depoları, kurumsal hesaplar veya dış kullanıcı verilerinin etkilendiğine dair somut bir bulgu olmadığını belirtti. Ancak olası ikincil faaliyetlere karşı sistemlerin sürekli izlendiği ifade edildi.

Github yaptığı açıklamada: “Şu anda GitHub’ın dahili depolarının dışında (müşterilerimizin işletmeleri, kuruluşları ve depoları gibi) saklanan müşteri bilgilerine yönelik herhangi bir etki olduğuna dair bir kanıtımız olmasa da, olası sonraki faaliyetler için altyapımızı yakından izliyoruz.” ifadelerini kullandı.

Saldırının İddia Edilen Kapsamı ve Tehdit Aktörü

Dark web kaynaklarına göre TeamPCP, GitHub’a ait yaklaşık 3.800–4.000 arası dahili deponun sızdırıldığını iddia etti ve bu verileri en az 50.000 dolar karşılığında satışa çıkardı.

Grubun açıklamalarında bunun bir fidye operasyonu olmadığı, verilerin satılamaması durumunda ise ücretsiz olarak sızdırılacağı yönünde ifadeler yer aldı. Ayrıca grubun kısa vadede “emeklilik” planlarından bahsetmesi, operasyonun motivasyonunun finansal ve prestij odaklı olabileceğine işaret ediyor.

TeamPCP: “Her zaman olduğu gibi, bu bir fidye değil. GitHub’dan haraç almak umurumuzda değil, bir alıcı bulursak verileri kendi tarafımızda imha ederiz, emekliliğimiz yakında olacak gibi görünüyor, bu yüzden alıcı bulunmazsa verileri ücretsiz olarak sızdırırız. ”

Saldırı Vektörü: Çalışan Cihazı ve VS Code Eklentisi

GitHub, olayın bir çalışan cihazında tespit edilen kötü amaçlı bir Visual Studio Code (VS Code) eklentisi üzerinden başladığını açıkladı.

Söz konusu eklenti üzerinden erişim sağlanarak iç sistemlere yönelik bir güvenlik açığı zinciri oluşturulduğu, bunun da kimlik bilgisi sızdırma ve erişim genişletme süreçlerini tetiklediği değerlendiriliyor.

Şirket ayrıca kritik gizli bilgilerin (credentials kimlik doğrulama bilgileri), token’lar vb.) düzenli olarak yenilendiğini ve en yüksek yetkiye sahip erişimlerin öncelikli olarak rotasyona alındığını bildirdi.

Kimlik Bilgisi Sızıntısı ve PyPI Token Zinciri

Wiz tarafından yapılan teknik değerlendirmeye göre saldırgan:

  • Önce bir GitHub hesabını ele geçirdi.
  • Ardından erişimi olan bir depodan “secret” bilgilerini çıkardı.
  • Bu bilgiler üzerinden PyPI (Python Package Index) token erişimi elde etti.
  • Böylece yazılım tedarik zincirine doğrudan müdahale edebilecek bir kanal oluşturdu.

Bu yapı, klasik bir “tekil hesap ihlali” yerine çok aşamalı bir tedarik zinciri saldırısı (supply chain compromise) modeline işaret ediyor.

GitHub’ın Resmî Açıklaması ve Risk Azaltma Önlemleri

Microsoft çatısı altındaki GitHub, yaptığı açıklamada olayın yalnızca dahili depolarla sınırlı olduğunu ve müşteri verilerine dair bir sızıntı tespit edilmediğini yineledi.

Şirketin aldığı önlemler arasında:

  • Kritik kimlik bilgilerinin rotasyonu
  • Yetkili erişimlerin yeniden yapılandırılması
  • Log ve erişim izleme sistemlerinin güçlendirilmesi
  • Tedarik zinciri kaynaklı risklerin analiz edilmesi

bulunuyor.

Related Posts

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail’i Hedef Alıyor

İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı. Saldırı…

15 Yıldır Fark Edilmeyen Linux Açığı Ortaya Çıktı: GhostLock Root Yetkisi Kazandırabiliyor

Siber güvenlik araştırmacıları, yaklaşık 15 yıldır Linux çekirdeğinde bulunan kritik bir güvenlik açığını ortaya çıkardı. CVE-2026-43499 olarak takip edilen ve GhostLock adı verilen açık, yerel erişime sahip saldırganların sistemde root…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir