GitHub Hesapları Tehlikede

Siber güvenlik araştırmacıları, GitHub platformunu hedef alan son derece sofistike bir kimlik avı kampanyasını ortaya çıkardı. Bu saldırı türü, geliştirici ekosistemini doğrudan etkileyerek GitHub’ın meşru OAuth2 cihaz doğrulama akışını kötüye kullanıyor. GitHub hesapları tehlikede, çünkü saldırganlar bu yöntemle kimlik doğrulama belirteçlerini çalıyor ve yazılım depolarına, CI/CD süreçlerine ve gizli kaynak kodlarına erişim sağlayabiliyor. Geleneksel güvenlik çözümlerini aşacak şekilde tasarlanan bu saldırılar, sosyal mühendisliği meşru sistem akışlarıyla birleştirerek ciddi bir risk oluşturuyorlar.

Bu saldırı türü, klasik e-posta tabanlı kimlik avı girişimlerinden farklı olarak kötü amaçlı bağlantılar kullanmak yerine, GitHub’ın orijinal kimlik doğrulama altyapısını manipüle ediyor. Bu da saldırıyı tespit etmeyi oldukça zorlaştırıyor.

GitHub Hesapları Tehlikede: Geliştiriciler ve Yazılım Tedarik Zinciri

Saldırı, daha önce Microsoft Azure ortamlarında yaygın görülen “device code phishing” yöntemini temel alıyor. Ancak bu kez hedefte kurumsal sistem yöneticileri değil, doğrudan yazılım geliştiriciler ve GitHub tabanlı CI/CD (sürekli entegrasyon/sürekli dağıtım) sistemleri var.

Praetorian tarafından yürütülen analizlerde, bu saldırıların özellikle telefon aramaları üzerinden gerçekleştirildiğinde %90’ın üzerinde başarı oranı elde ettiği belirtildi. Saldırganlar, yazılımcılara “BT destek ekibi” kimliğiyle ulaşıp cihaz doğrulama işlemi gerektiğini söylüyorlar. Kullanıcının yalnızca github.com/login/device adresine gidip verilen 6 haneli kodu girmesi istenmektedir. Bu işlem tamamlandığında, saldırganlar ilgili OAuth erişim belirtecine ulaşarak hesaba tam erişim sağlıyorlar.

Saldırı Nasıl İşliyor? 5 Adımda Özet

  1. Yetkisiz OAuth2 isteği yapılır: Saldırgan, GitHub’ın cihaz kodu API’si üzerinden user, repo ve workflow gibi geniş erişim izinleriyle bir istek gönderir.
    • curl -X POST https://github.com/login/device/code \ -H “Accept: application/json” \ -d “client_id=01ab8ac9400c4e429b23&scope=user+repo+workflow”
  2. GitHub, doğrulama için cihaz ve kullanıcı kodu döner. Ayrıca doğrulama bağlantısı ve 15 dakikalık süre belirtilmektedir.
  3. Sosyal mühendislik başlar: Saldırgan, geliştiriciyle iletişime geçerek kodu doğrulama sayfasına girmesini ister.
  4. Kullanıcı, kodu girer ve uygulamaya izin verir. GitHub, bu işlemi meşru olarak kabul eder.
  5. Saldırgan, artık geçerli OAuth belirteciyle tüm kaynaklara erişebilmektedir.

Bu belirteç sayesinde saldırganlar:

  • Gizli kaynak kodlarını dışarı aktarabilirler
  • GitHub Actions yapılandırmalarını görebilirler veya kötü amaçlı kod çalıştırabilirler
  • CI/CD sürecine arka kapı yerleştirerek tedarik zinciri saldırıları başlatabilirler

Neden Tehlikeli?

GitHub’ın platform temelli kimlik doğrulama modeli, genellikle güvenli kabul edilmektedir. Ancak saldırganlar bu modeli, kullanıcı davranışını istismar ederek yetkisiz erişimi meşrulaştırmak için kullanıyor.

Bu yöntemin asıl tehlikesi, saldırının hiçbir teknik zafiyet içermemesi. Her şey GitHub’ın normal işleyişi içinde gerçekleşiyor ve tespit ancak gelişmiş davranışsal analizlerle mümkün olabiliyor.

Tedarik Zinciri Etkisi

Bu tür bir ihlal yalnızca bireysel geliştiricileri değil, onların eriştiği tüm projeleri, bağımlılıkları ve kullanıcıları da etkileyebilmektedir. Örneğin, saldırganlar bir projeye arka kapı yerleştirerek binlerce kullanıcıyı etkileyen bir tedarik zinciri saldırısı başlatabilirler.

Bu durum, daha önce yaşanan tj-actions vakası gibi olayların tekrarını gündeme getirebilirler. GitHub tabanlı yazılım geliştirme altyapısının merkezi hâle gelmesi, bu tür saldırılara etkili zemin sunmaktadır.

GitHub Hesapları Tehlikede: Ne Yapılmalı?

  • GitHub OAuth2 uygulamalarını düzenli olarak gözden geçirin
  • Kullanılmayan yetkilendirmeleri iptal edin
  • Geliştiricilere yönelik sosyal mühendislik farkındalığı eğitimi sağlayın
  • Kodu veya sistem güncellemeleri telefondan isteyen kişiyle doğrulama yapmadan işlem yapmayın
  • GitHub’da cihaz kodu akışına dair detayları inceleyin

Güvenlik İşlevselliğin Önüne Geçmeli

Bu yeni saldırı türü siber güvenlik tehditleri arasında, saldırganların artık teknik açık aramak yerine kullanıcıyı açık hâline getirdiğini bir kez daha göstermektedir. Ancak özellikle yazılım geliştirme süreçlerinde güvenliği, işlevsellik kadar öncelikli kılmak gerekmektedir.