Washington, 19 Mart 2025 – ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), GitHub üzerinde gerçekleşen büyük bir tedarik zinciri saldırısına karşı acil bir güvenlik uyarısı yayınladı. Siber saldırganların, GitHub Action bileşenlerinden tj-actions/changed-files üzerinden kötü amaçlı kod enjekte ederek hassas verileri ele geçirdiği bildirildi.
CISA, bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek, saldırının aktif olarak kullanıldığına dikkat çekti. CVE-2025-30066 koduyla takip edilen açık, 8.6 CVSS puanına sahip ve büyük bir tehdit oluşturuyor.
Saldırı Nasıl Gerçekleşti?
Güvenlik uzmanları, saldırının GitHub üzerindeki bir tedarik zinciri ihlali olduğunu belirtiyor. Yapılan incelemelere göre, siber saldırganlar önce reviewdog/action-setup@v1 adlı GitHub Action bileşenini ele geçirdi. Ardından bu bileşeni kullanarak tj-actions/changed-files Action’ına sızdı.
Uzmanlar, saldırının GitHub Kişisel Erişim Belirteçleri (PATs) üzerinden gerçekleştirildiğini vurguluyor. Tehdit aktörleri, install.sh adlı bir dosyaya Base64 kodlu kötü amaçlı komut ekleyerek, çalıştırılan iş akışlarındaki hassas bilgileri ele geçirdi.
Ele geçirilen veriler arasında şunlar bulunuyor:
- AWS erişim anahtarları
- GitHub kişisel erişim belirteçleri (PATs)
- npm belirteçleri
- Özel RSA anahtarları
CISA ve Uzmanlardan Acil Uyarı
CISA, tüm etkilenen kullanıcıları 4 Nisan 2025 tarihine kadar tj-actions/changed-files’in 46.0.1 sürümüne güncellemeye çağırdı. Ancak, uzmanlar saldırının temel nedeninin henüz tam olarak çözülemediğini ve ilerleyen günlerde benzer saldırıların tekrar yaşanabileceğini belirtiyor.
Siber güvenlik firmaları, saldırıya maruz kalmış olabilecek yazılım geliştiricileri ve organizasyonları şu önlemleri almaya davet ediyor:
🔹 Etkilenen GitHub Action bileşenlerini daha güvenli alternatiflerle değiştirin.
🔹 Geçmiş iş akışlarını şüpheli etkinlikler açısından denetleyin.
🔹 Sızdırılmış olabilecek tüm gizli bilgileri (secrets) yenileyin.
🔹 GitHub Action sürümlerini doğrudan versiyon etiketleriyle değil, belirli commit hash’leriyle sabitleyin.
GitHub Kullanıcıları İçin Risk Devam Ediyor
Siber güvenlik uzmanları, GitHub üzerinde tedarik zinciri saldırılarının artış gösterdiğini ve özellikle otomatik davetlerle geniş katkıcı topluluğuna sahip organizasyonların yüksek risk altında olduğunu belirtiyor.
Bu son saldırının ardından, GitHub kullanıcılarının güvenlik yapılandırmalarını gözden geçirmesi, erişim izinlerini sıkılaştırması ve CI/CD iş akışlarını güvenli hale getirmesi kritik önem taşıyor.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment