GitHub, bir çalışanın bilgisayarının zararlı bir VS Code uzantısıyla ele geçirilmesinin ardından, 3.800’e yakın iç kod deposuna izinsiz erişim sağlandığını açıkladı. Olayın ardından şirket, derinlemesine bir güvenlik soruşturması başlattı. Microsoft tarafından satın alınan platform, tespit ettiği tehdidi hızla ortadan kaldırıp, zararlı uzantıyı kaldırarak etkilenen sistemi karantinaya aldı ve olay müdahale protokolünü devreye soktu.
Saldırıdan Sorumlu: TeamPCP
Saldırının arkasında TeamPCP isimli bir hacker grubunun olduğu doğrulandı. Emniyet yetkilileri ve bağımsız araştırmacılar, bu grubun yazılımcıları hedef alan, büyük ölçüde otomasyona dayalı sızma teknikleri kullandığını belirtiyor. TeamPCP, GitHub sunucularında yer alan ve temel altyapı kodunu barındıran yaklaşık 4.000 depoyu ele geçirdiğini öne sürdü. Grup, sızdırılan bilgileri yeraltı forumlarında en az 50 bin dolar taban fiyattan satmak üzere paylaşmaya başladı.
GitHub tarafından yapılan açıklamada, müşteri depoları, kurumsal kurulumlar ve kullanıcı hesaplarının bu olaydan etkilenmediği, yalnızca dahili sistemlerdeki kod depolarının hedef alındığı belirtildi.
Uzmanlar, TeamPCP grubunun geliştirici ortamlarını ve otomatik kod dağıtım süreçlerini istismar ederek değerli oturum anahtarlarını ve kimlik doğrulama bilgilerini ele geçirmeye çalıştığını kaydetti.
Mini sözlük: VS Code uzantısı, Microsoft’un popüler kod editörü Visual Studio Code’a ek işlevler kazandıran küçük yazılım parçalarıdır. Kötü niyetli uzantılar, geliştiricinin sistemine gizlice sızarak hassas verilere ulaşabilir.
Güvenlik Tedbirleri ve Süreç
GitHub, olayın ardından potansiyel olarak zarar görmüş erişim anahtarlarını yeniledi ve sistem günlüklerini ayrıntılı biçimde incelemeye başladı. Şirket, güvenlik ekiplerinin şüpheli hareketleri tespit etmek için gözetimini artırdığını ifade etti. Nihai raporun, soruşturma tamamlanınca kamuoyuyla paylaşılması planlanıyor.
| Olay | Etkilenen Depo Sayısı | İlgili Grup/Kurum | Hedeflenen Veri |
|---|---|---|---|
| GitHub saldırısı | 3.800+ | TeamPCP | İç kod, kimlik bilgileri |
| Grafana Labs Supply Chain | Bilinmiyor | Bilinmiyor | Altyapı kodu, kimlik bilgileri |
Kripto Topluluğunda Endişe ve Uyarılar
Olayın ardından Binance kurucusu Changpeng Zhao, özellikle kripto sektöründeki yazılım geliştiricilere yönelik olarak önemli bir uyarıda bulundu. Zhao, tüm kripto geliştiricilerin kod tabanlarına gömülü veya özel depolarda saklanan API kimlik bilgilerinin acilen yenilenmesi çağrısı yaptı.
Tüm geliştiricilerin, ister açık ister kapalı depolarda olsun, kaynak kodlarında saklanan API anahtarlarını hemen gözden geçirip değiştirmeleri tavsiye edildi.
Kripto uygulama geliştiricileri, GitHub’ın sağladığı kaynakları ve depo altyapısını hayati olarak kullanıyor. Otomatik işlem sistemleri, cüzdan erişim anahtarları ve diğer gizli bilgiler genellikle kod depolarında saklanabiliyor. Uzmanlar, yazılım projelerinde hassas anahtarların doğrudan kodda saklanmasının büyük bir risk oluşturduğunu söylüyor ve özellikle gitleaks, Trivy ve GitHub Secret Scanning gibi özel araçlarla kapsamlı taramalar yapılmasını öneriyor.
Geçtiğimiz günlerde, Grafana Labs şirketinin de tedarik zinciri saldırısıyla karşı karşıya kalması, GitHub’daki olayın sektör genelinde yankı bulmasına yol açtı. Ayrıca, Nisan sonunda açıklanan ciddi bir güvenlik açığı (CVE-2026-3854) ile de milyonlarca halka açık ve gizli deponun risk altına girdiği gündeme gelmişti.
Büyük Platformlar İzleme ve Bildirimde Kararlı
GitHub, altyapısına yönelik gözetimi en üst seviyede sürdüreceğini ve soruşturma tamamlanana kadar düzenli olarak bilgilendirmeler yapacağını duyurdu.
