- Google'ın Tehdit Analiz Grubu (TAG), kısa süre önce güvenlik araştırmacılarını hedef alan saldırılar olduğunu ve bu saldırılarda istismar edilen bir zero-day zafiyeti bulunduğunu doğruladı.
- Zero-day zafiyeti ilgili satıcıya bildirildi ve yama üzerinde çalışılıyor.
- Kuzey Koreli saldırganlar, Twitter gibi sosyal medya üzerinden hedeflerle aktif biçimde sohbet ederek ilişki kurdu.
- Gerçekten de bir güvenlik araştırmacısıyla ortak ilgi alanları hakkında aylar boyunca konuşup güven inşa ettiler.
- Ardından şifreli mesajlaşma uygulamalarına geçerek, popüler bir yazılım paketine ait en az bir zero-day zafiyeti içeren kötü amaçlı bir dosya gönderdiler.
- İstismar başarılı olduğunda shellcode sanal makine kontrolleri yaptı ve çeşitli bilgileri saldırganın sunucusuna gönderdi; bu, daha önce tespit edilen Kuzey Kore kaynaklı zafiyet saldırılarına benzer bir yöntemle uygulanmıştı.
- Ayrıca zero-day zafiyeti üzerinden yapılan hedefli saldırıların yanı sıra, tersine mühendislik için açık kaynak bir araç geliştirip Github'da yayımladılar.
- Bu program ilk olarak 30 Eylül 2022'de yayımlandı ve sonrasında aktif biçimde geliştirilerek birkaç kez güncellendi.
- Ancak bu araç, saldırganın sunucusundan rastgele kod indirip çalıştırabilen bir arka kapı içeriyordu.
- TAG, bu aracı kullandıysanız sistemi incelemenizi ve gerekirse işletim sistemini yeniden kurmanızı öneriyor.
- Tespit edilen tüm kötü amaçlı web siteleri ve alan adları Google Safe Browsing'e eklendi ve etkilenmiş olabilecek Google hesaplarına devlet destekli saldırı uyarısı gönderildi.
- Ayrıca dbgsymbol, blgbeach, @Paul091_ dahil tüm kötü amaçlı alan adları, dosyalar ve hesaplar da kamuya açıklandı.
5 yorum
Hedefli saldırılar da korkutucu ama açık kaynak projelerine kötü amaçlı kod eklenmiş olması kısmında daha da dikkatli olmak gerekiyor gibi görünüyor.
Bu aracın kaynak kodu normalmiş, ancak Github Release'e dahil edilen dosyalarda kötü amaçlı kod bulunduğu söyleniyor.
GitHub'da 200'den fazla yıldızı da varmış...
Bir anda peş peşe güvenlik haberleri çıkıyor. Herkesin güvenliğe dikkat etmesi gerekiyor gibi görünüyor.
Kaynak kodunun yine de doğrulanabilir olacağını düşünürdüm ama Release ile farklı olabileceği aklıma gelmemişti. Güvenliğin sonu yok gerçekten..
Bu da bir tür tedarik zinciri saldırısı gibi görünüyor.
Tam da 1 ay önce yayımlanan Go 1.21.0 için, kendi toolchain derleme çıktılarının ilk kez tamamen yeniden üretilebilir olduğunu anlatan bir yazıyı bloglarında paylaşmışlardı. O yazının ilk iki paragrafı şöyleydi.
Perfectly Reproducible, Verified Go Toolchains
İnsan neden böyle bir şeyden endişe ediliyor diye düşünüyordu ama görünüşe göre bu tür saldırılar zaten yaklaşık 1 yıldır gizlice yürütülüyormuş. Ah, dünya gerçekten ne kadar tekin olmayan bir yer olmuş…
Ben de GitHub'da kodla birlikte paylaşılmış olana biraz daha fazla güvenme eğilimindeyim ama... dikkatli olmak gerekecek.
Her zaman kod incelemesi yapıp doğrudan kendin derlemekten başka yol yok mu...
HN başlığının yapay zeka özeti