Açık olmadan da aşılabiliyor — açık kaynak geliştiricilerini hedef alan 'güven temelli' saldırının iç yüzü

 (cybersecuritynews.com)
12 puan yazan darjeeling 17 일 전 | 3 yorum | WhatsApp'ta paylaş

Açık kaynak geliştiricileri yeni bir tehdit türüyle karşı karşıya. Bu, karmaşık exploit’ler ya da zero-day açıkları değil; geliştirici topluluğundaki "güven" unsurunu doğrudan silah haline getiren bir sosyal mühendislik saldırısı.

Saldırgan şu anda Slack’te Linux Foundation içindeki gerçek bir kişi gibi davranarak kötü amaçlı dosya kurulmasını sağlamaya çalışan bir kampanya yürütüyor.

Olayın gelişimi

Bu saldırı ilk kez 7 Nisan 2026’da, OpenSSF(Open Source Security Foundation) CTO’su ve baş güvenlik mimarı Christopher "CRob" Robinson’ın OpenSSF Siren e-posta listesinde yüksek riskli bir uyarı yayımlamasıyla ortaya çıktı.

Saldırının sahnesi, Linux Foundation bünyesindeki bir çalışma grubu olan TODO Group’un Slack çalışma alanı ve ilgili açık kaynak topluluklarıydı. TODO Group, açık kaynak program ofisi (OSPO) profesyonellerinin bir araya geldiği bir topluluktur.

Saldırgan, tanınmış bir Linux Foundation yöneticisinin sahte kimliğini titizlikle oluşturdu ve birçok geliştiricinin güvendiği bir platform olan Google Sites üzerinde barındırılan phishing bağlantılarını içeren Slack DM’lerini kurbanlara gönderdi.

Bu saldırıyı ilk inceleyen ve teknik işleyişini belgeleyen ekip Socket.dev analiz ekibi oldu. İnceleme sonucunda bunun basit bir phishing girişimi değil, açık kaynak topluluğunda doğal olarak oluşan derin güveni istismar etmek üzere tasarlanmış çok aşamalı bir operasyon olduğu doğrulandı.

Yem: "PR’nizin merge edilip edilmeyeceğini önceden söyleyebiliriz"

Saldırganın mesajı son derece incelikli biçimde tasarlanmıştı. Linux Foundation liderini taklit eden saldırgan, açık kaynak projelerinin dinamiklerini analiz eden ve inceleyiciler daha bakmadan hangi kod katkılarının (PR) merge edileceğini tahmin edebilen özel bir yapay zeka aracını tanıttı.

Mesaj, "şimdilik yalnızca az sayıda kişiyle paylaşıyoruz" diyerek kıtlık hissi yarattı; ayrıca phishing bağlantısıyla birlikte sahte e-posta adresi ve erişim anahtarı sunarak sahte çalışma alanını gerçekmiş gibi gösterdi.

Saldırının adım adım analizi

Saldırı toplam 4 aşamada ilerliyor:

1. aşama — Kimliğe bürünme (Impersonation)

Linux Foundation içindeki gerçek bir kişinin Slack profilini kopyalayarak güven oluşturma.

2. aşama — Phishing

Google Sites üzerinde barındırılan phishing bağlantısına tıklatmaya çalışma. Normal bir kimlik doğrulama akışı gibi görünen sahte sayfa, e-posta adresi ve doğrulama kodunu çalar.

3. aşama — Kimlik bilgisi toplama (Credential Harvesting)

Kimlik bilgileri çalındıktan sonra phishing sitesi, kurbanı "Google sertifikası" gibi gösterilen kötü amaçlı bir kök sertifika kurmaya yönlendirir.

4. aşama — Kötü amaçlı yazılım dağıtımı (Malware Delivery)

Kök sertifika kurulduğunda saldırgan, kurbanın cihazı ile tüm web siteleri arasındaki şifreli trafiği sessizce ele geçirebilir hale gelir.

Platforma göre bulaşma mekanizması

macOS

Kötü amaçlı kök sertifika kurulduktan sonra bir betik, uzak bir IP’den(2.26.97.61) gapi adlı bir ikiliyi otomatik olarak indirip çalıştırır. Bu ikili, saldırgana dosya erişimi, ek kimlik bilgisi hırsızlığı ve uzaktan komut çalıştırma dahil cihaz üzerinde tam kontrol sağlar.

Windows

Tarayıcı güven iletişim kutusu üzerinden kötü amaçlı sertifikanın kurulması sağlanır; kurulumdan sonra aynı şekilde şifreli trafik ele geçirilebilir.

OpenSSF önerileri

OpenSSF, açık kaynak Slack topluluklarında aktif olan geliştiricilere şunları önerdi:

  1. Bant dışı (out-of-band) kimlik doğrulaması: Yalnızca Slack görünen adı ya da profil fotoğrafına güvenmeyin; kimliği, ayrı ve bilinen bir kanal üzerinden doğrulayın
  2. Kök sertifika kurulum taleplerini reddedin: Sohbet ya da e-posta ile gelen bağlantılardan asla kök sertifika kurmayın. Meşru hizmetler bunu talep etmez
  3. MFA’yı etkinleştirin: Kimlik bilgileri çalınsa bile zararı sınırlamaya yardımcı olur

Ne anlama geliyor?

Bu saldırı, teknik bir açıktan çok topluluğun güven yapısını bizzat saldırı vektörü haline getirmesi nedeniyle dikkat çekiyor. Açık kaynak ekosistemi gibi yakın bağlara sahip topluluklarda, tanıdık isimler ve inandırıcı öneriler karşısında güvenlik refleksleri kolayca zayıflayabiliyor.

"PR’nin merge edilip edilmeyeceğini yapay zeka ile tahmin ediyoruz" yemi, özellikle geliştiriciler için oldukça cazip görünebilir; bu da saldırının ne kadar incelikli olduğunu gösteriyor. Tanımadığınız bağlantılar ve kök sertifika kurulum istekleri karşısında, kaynak ne kadar güvenilir görünürse görünsün bir kez daha şüpheyle yaklaşma alışkanlığı gerekli.

Bu haber, Cyber Security News özgün metni temel alınarak çevrilmiş ve düzenlenmiştir.

İlgili okumalar

3 yorum

 
shakespeares 16 일 전

Yapay zeka yüzünden hackerlar daha da pervasızlaştı.
 
happing94 16 일 전

IT, kalkanın mızrağı yenememesi demek.
 
tangokorea 16 일 전

Yapay zeka, hackerlar için büyük bir yardımcı oluyor.