Devasa Hacker Grubu Açık Kaynak Kodunu Zehirliyor
TeamPCP, tehlikeye atılmış açık kaynak kodu aracılığıyla GitHub'u ve dünya çapında yüzlerce kuruluşu hedef alan benzeri görülmemiş yazılım tedarik zinciri saldırıları başlattı.
Açık kaynak güvenliği, TeamPCP olarak bilinen karmaşık bir bilgisayar korsanı grubunun, yakın geçmişte geliştirici altyapısını tehlikeye atmaya yönelik en önemli koordineli çabalardan birini temsil eden kapsamlı bir yazılım tedarik zinciri saldırıları kampanyası düzenlemesiyle artan bir tehditle karşı karşıyadır. Suç örgütü, milyonlarca geliştiricinin halka açık kod depolarına duyduğu güvenden yararlanarak sistematik olarak savunmasız depoları ve topluluk projelerini hedef aldı. Bu yaygın saldırı, siber suç taktiklerinde, tek tek kuruluşları hedeflemekten küresel çapta modern yazılım geliştirme ekosistemlerine güç veren temel yapı taşlarından taviz vermeye doğru yönelen rahatsız edici bir değişimi gösteriyor.
İşbirliğine dayalı yazılım geliştirme ve sürüm kontrolü için dünyanın en büyük platformu olan GitHub, TeamPCP'nin aralıksız kampanyasının en yeni ve en önde gelen kurbanlarından biri olarak ortaya çıktı. Dünya çapındaki işletmelerin, startupların ve bağımsız geliştiricilerin güvendiği milyonlarca veri havuzunu barındıran platform, yazılım geliştirme yaşam döngüsünde kritik bir altyapı noktası olarak hizmet veriyor. GitHub depoları genellikle sayısız alt uygulamayı besleyen bağımlılık zincirleri olarak hizmet ettiğinden, ihlal tüm geliştirici topluluğu için önemli bir endişeyi temsil ediyor. Bu saldırı, kodun yeniden kullanımının ve bağımlılık yönetiminin potansiyel tehlike içeren birbirine bağlı ağlar oluşturduğu açık kaynak ekosistemlerinde bulunan sistemik güvenlik açıklarının altını çiziyor.
TeamPCP'nin operasyonlarının kapsamı özellikle endişe verici; kanıtlar, birden fazla sektördeki yüzlerce kuruluşun kötü niyetli faaliyetlerinden etkilendiğini gösteriyor. Grubu izleyen güvenlik araştırmacıları, finansal kurumları, teknoloji şirketlerini, sağlık hizmeti sağlayıcılarını ve devlet kurumlarını kapsayan izinsiz girişleri belgeledi. Saldırganlar, yazılım geliştirme iş akışları, bağımlılık çözümleme mekanizmaları ve veri havuzu yönetim sistemleri hakkında gelişmiş bilgi sahibi olduklarını gösterdi. Kısmen tespit edilmeden bu ölçekte çalışabilme yetenekleri, hem teknik yeteneklerini hem de siber güvenlik topluluğunun açık kaynak ekosistemlerini izleme konusunda karşılaştığı zorlukları gösteriyor.
Kaynak: Wired
