Son zamanlarda yazılım dünyasında büyük yankı uyandıran bir güvenlik ihlali, GitHub üzerindeki 23.000’den fazla kod deposunu etkileyerek önemli bir veri sızıntısı riski oluşturdu. Popüler bir GitHub Action bileşeninin tedarik zinciri saldırısına maruz kalması, yazılım geliştirme süreçlerinde kullanılan şifrelerin ve erişim anahtarlarının tehlikeye girmesine neden oldu.
Güvenlik Açığının Kökeni
CVE-2025-30066 olarak izlenen bu saldırıda, GitHub Actions tarafından kullanılan ve kod değişikliklerini takip etmeye yarayan tj-actions/changed-files bileşeni kötü amaçlı kişiler tarafından değiştirildi. Saldırganlar, kod içerisine Base64 ile şifrelenmiş bir Node.js fonksiyonu ekleyerek, GitHub Runner’ın belleğini tarayan bir Python betiğini uzaktan indirdi. GitHub Runner, sürekli entegrasyon ve dağıtım (CI/CD) süreçlerinde kullanılan önemli kimlik bilgilerini barındıran bir bileşen olduğundan, bu saldırı büyük bir güvenlik tehdidi oluşturdu.
StepSecurity’nin CEO’su Varun Sharma tarafından yapılan açıklamaya göre, bu kötü amaçlı işlem sonucunda CI/CD süreçlerinde kullanılan şifreler, erişim belirteçleri ve diğer kritik bilgiler, GitHub Actions’ın günlük dosyalarına sızdırıldı. Eğer bu günlükler herkese açık bir depoda barındırılıyorsa, herhangi bir kişi tarafından görüntülenebilir hale gelmiş olabilir.
Saldırı Nasıl Keşfedildi?
Bu güvenlik açığını ilk tespit eden StepSecurity ekibi, saldırının 14 Mart 2025 tarihinde başladığını belirledi. Siber güvenlik şirketi Sysdig tarafından yapılan analizlere göre, saldırganların kod içerisine eklediği Base64 kodlu yük, GitHub üzerindeki bir Gist’ten ek Python kodu indirerek, sistem belleğini düzenli ifadelerle tarıyordu. Elde edilen sonuçlar daha sonra GitHub Actions günlüklerinde depolanıyordu.
Sysdig araştırmacılarından Michael Clark, saldırganların bu günlükleri okuyarak hassas bilgileri ele geçirme şansı bulduğunu belirtti. Bu tür saldırılar, açık kaynaklı yazılımların ve popüler geliştirici araçlarının kötüye kullanımına dair artan endişeleri bir kez daha gündeme getirdi.
Geliştirici Depoları Tehlikede
Bu olay, yazılım geliştiricilerinin kullandığı platformlara yönelik saldırıların ne kadar yaygınlaştığını gösteriyor. GitHub, PyPI ve npm gibi kod depoları, tehdit aktörleri için cazip hedefler haline geldi. Siber saldırganlar, yazılım paketlerine zararlı kod enjekte ederek, farkında olmadan geliştiricilerin bu kodları kullanmasını sağlıyor.
The Futurum Group’tan DevOps uzmanı Mitch Ashley, bu tür saldırıların açık kaynak yazılımlar, paket yöneticileri ve konteyner imajları için büyük bir tehdit oluşturduğunu vurguladı. Ashley’ye göre, yazılım tedarik zincirindeki güvenlik açıkları, geleneksel uygulama güvenliğinden daha geniş bir yaklaşımla, DevSecOps stratejileri ile ele alınmalı.
Hasar ve Alınan Önlemler
StepSecurity tarafından yapılan analizler, tj-actions/changed-files bileşeninin çoğu sürümünün kötü amaçlı kod içerdiğini ortaya koydu. GitHub, saldırıyı tespit ettikten sonra hızlı bir şekilde müdahale etti ve ilgili bileşeni devre dışı bıraktı. 15 Mart 2025 itibarıyla, etkilenen bileşen temizlendi ve yeniden güvenli hale getirildi.
Siber güvenlik araştırmacıları saldırının kaynağını incelediğinde, @tj-actions-bot adlı bir bot hesabının GitHub erişim belirteçlerinin ele geçirilmiş olabileceğini fark etti. Olası bir hesap ele geçirme saldırısı sonucunda, kötü niyetli kişilerin bu bot aracılığıyla kod değişiklikleri yaptığı tahmin ediliyor. GitHub yetkilileri, saldırıyı durdurmak için botun erişim belirteçlerini iptal etti, şifresini değiştirdi ve minimum erişim yetkileriyle sınırlandırdı.
Olası Riskler ve Çözüm Önerileri
Wiz adlı siber güvenlik firmasının araştırmacıları, saldırının özellikle herkese açık GitHub depolarında büyük bir risk oluşturduğunu belirtti. Kötü amaçlı kod çalıştırıldığında, hassas bilgilerin günlüklere sızdırıldığı görüldü. Sızan bilgiler arasında AWS erişim anahtarları, GitHub erişim belirteçleri (PAT), npm tokenleri ve özel RSA anahtarları bulunuyordu.
Endor Labs’ın CTO’su Dimitri Stiliadis’e göre, saldırganların amacı sadece şifreleri ele geçirmekle sınırlı değildi. Açık kaynak kodları hedef alan bu tür saldırılar, yazılım tedarik zincirine daha derin bir müdahalede bulunma riski taşıyor. Stiliadis, birçok açık kaynak kütüphanesinin ve yazılım paketinin bu saldırıdan dolaylı olarak etkilenmiş olabileceğini öne sürdü.
Şirketlerin ve bireysel geliştiricilerin bu tür saldırılardan korunmak için aşağıdaki önlemleri alması öneriliyor:
- Kod depolarında güvenlik taramaları yaparak zararlı kod girişlerini tespit etmek
- GitHub Actions günlüklerini gözden geçirerek şüpheli aktiviteleri analiz etmek
- Kullanılan tüm erişim belirteçlerini ve şifreleri değiştirmek
- Daha güvenli CI/CD alternatifleri araştırarak mevcut araçların risk seviyelerini değerlendirmek
Bu olay, açık kaynak ekosisteminde güvenlik farkındalığının ne kadar önemli olduğunu bir kez daha gösteriyor. Geliştiricilerin ve yazılım şirketlerinin güvenlik önlemlerini artırarak, yazılım tedarik zincirindeki tehditlere karşı daha dayanıklı hale gelmesi gerekiyor.