Microsoft'un Açık Kaynaklı Projeleri Yine Hacklendi: 73 Paket Şifre Çalıyor
Microsoft'a ait 73 açık kaynaklı paket, yapay zekâ geliştirici araçlarında kullanıldığında geliştiricilerin şifrelerini çalan zararlı kod içeriyor. Bu, geçen ayın sonundan sonra iki hafta içinde yaşanan ikinci saldırı.
Microsoft, GitHub üzerinde barındırdığı onlarca açık kaynaklı projeyi acil şekilde yayından kaldırdı. **73 paket**, yapay zekâ kodlama araçlarında açıldığında geliştiricilerin hassas kimlik bilgilerini çalan ileri seviye zararlı yazılım ile enfekte edildi.
Saldırı hedefindeki yazılımlar arasında Claude Code, Gemini CLI ve VS Code gibi popüler yapay zekâ geliştirme araçları yer alıyor. Güvenlik firması **Cloudsmith** ve açık kaynak kötü amaçlı yazılım analiz platformu **OpenSourceMalware**, ilk olarak saldırıyı tespit etti. GitHub, projelere erişim engeli koyarak "Kullanıcı Hizmet Şartları ihlali" gerekçesi gösterdi. Kaç geliştiricinin etkilendiği henüz bilinmiyor.
Kimlik Bilgileri ve Bulut Hesapları Tehlikede
Saldırıda kullanılan zararlı yazılım, **AWS**, **Azure**, **Google Cloud Platform**, **Kubernetes** ve 90'dan fazla geliştirici aracından kimlik bilgilerini çalıyor. Saldırganlar bu bilgileri kullanarak bulut altyapısında yanal hareket yaparak diğer geliştirici makinelerini enfekte edebiliyor. Uzmanlar, etkilenen sistemlerin **tamamen ele geçirilmiş** sayılması gerektiğini uyarıyor.
Zararlı yazılım **Miasma** olarak tanımlanıyor ve **TeamPCP** olarak izlenen tehdit aktörünün Mini Shai-Hulud araç setinin bir klonudur. Saldırganlar, **Microsoft'un yayınlama kimlik doğrulama bilgilerini** kullanarak paket havuzunun güvenlik kontrol mekanizmalarını atlamayı başardı.
İkinci Saldırı İlk Aylar İçinde
Bu olay, **Microsoft**'un geçen mayıs ayında yaşadığı **Durable Task** paket saldırısından sonra iki hafta içinde gerçekleşen ikinci saldırı. Durable Task, aylık 400 bin kez indirilen ve hata toleranslı iş akışları oluşturmak için kullanılan bir çerçevedir. Güvenlik araştırmacıları, bu yeni saldırının Durable Task projesinin "yeniden ele geçirilmesi" olabileceğini ve **Microsoft**'un ilk saldırıda tehdidi tam olarak ortadan kaldıramadığını öne sürüyor.
Saldırıda **OIDC (OpenID Connect) token** kimlik bilgileri hedef alındı. Bu tokenler **SLSA (Software Artifacts için Tedarik Zinciri Seviyeleri)** kanıt doğrulaması sisteminde kullanılarak yazılımın bütünlüğünü kriptografik olarak garanti eder. Aynı yöntem Red Hat paketlerine yönelik başka bir saldırıda da kullanılmıştı.
Microsoft, etkilenen depoları kapatıldığını ve temizledikten sonra yeniden açmaya çalıştığını açıkladı. Ancak tedarik zinciri saldırılarında büyük teknoloji şirketlerinin bile hedef alınması, açık kaynak yazılım ekosisteminin artan güvenlik risklerine işaret ediyor.
