GitHub’ın dahili depolarına yetkisiz erişim olduğunu belirten güvenlik olayı, yazılım geliştirme dünyasında ciddi bir tedirginlik yarattı. Platformun 20 Mayıs’ta yaptığı açıklamalara göre, olay bir çalışanın bilgisayarına yüklenen zararlı Visual Studio Code eklentisinin sebep olduğu saldırıdan kaynaklandı.
Olayın gelişimi ve ilk bulgular
19 Mayıs’ta yetkisiz erişimin fark edilmesiyle birlikte, GitHub hızlıca zararlı eklenti versiyonunu sistemden kaldırdı ve ilgili bağlantı noktalarını devre dışı bıraktı. Şirketten yapılan açıklamada, hâlihazırda kullanıcı depoları, şirket hesapları veya müşteri verilerinin bu olaydan etkilenip etkilenmediğine dönük doğrudan bir bulguya rastlanmadığı vurgulandı.
GitHub, zararın boyutunu belirlemeye ve olayın etkilerini sınırlamaya devam ediyor. Yapılan duyuruda, saldırı yalnızca şirket içi depolarla sınırlı kalırken, saldırganın yaklaşık 3.800 depoya erişim sağladığı doğrulandı.
GitHub, acil olarak en hassas şifreleri ve erişim anahtarlarını yenilediğini, olay aydınlatıldıkça yeni güvenlik adımları atılacağını belirtti. Güncel bulgulara göre kullanıcı dışındaki sistemlerin hedef alındığı, incelemenin devam ettiği ifade edildi.
Soruşturma sürdükçe sistem günlüklerinin analiz edildiği ve şifre yenileme adımlarının etkinliğinin incelendiği bildirildi. Araştırma tamamlandığında kapsamlı bir raporun paylaşılacağı duyuruldu.
Kökeni ve tehlikenin boyutu
Olayın siber güvenlik tarafında tanınan isim UNC6780 ile bağlantılı olduğu belirtildi. “TeamPCP” takma adını kullanan saldırganlara ilişkin Google Threat Intelligence Group’un paylaştığı bilgilere göre; grup, tedarik zinciri saldırılarını gelir odağında sıkça uygulayan bir tehdit aktörü olarak öne çıkıyor.
TeamPCP, iddiasına göre GitHub’ın ana altyapısına ait yaklaşık 4.000 özel depodan kaynak kodları ve şirket içi bilgileri ele geçirdi. Bu içeriklerin satılması için 50.000 dolardan yüksek fiyatlar istendiği, veri örneklerinin paylaşılabildiği paylaşıldı.
Google Tehdit İstihbarat Grubu, TeamPCP’nin özellikle otomatikleştirilmiş kimlik doğrulama süreçlerine, yazılım teslim zincirlerine ve geliştirici araçlarına sızmaya odaklı çalıştığını vurguladı.
Erken 2026’da grup, Trivy Vulnerability Scanner açığı (CVE-2026-33634) üzerinden Cisco gibi büyük firmaları etkileyen saldırılar düzenlemişti. Ayrıca LiteLLM ve Checkmarx gibi yazılım güvenliği şirketlerine dönük kimlik bilgisi avı kampanyaları da grup ile ilişkilendirildi.
Mini sözlük: UNC6780 – Siber güvenlik araştırmalarında tespit edilen ve finansal amaçlı saldırılar düzenleyen bir tehdit grubu. Genellikle tedarik zincirlerine, geliştirici araçlarına ve otomasyon sistemlerine sızarak veri elde etmeye çalışıyorlar.
Kripto API’lere yönelik risk yükseliyor
Binance kurucusu Changpeng Zhao’nun hem geliştiricilere hem de ekiplere acil güvenlik tedbirleri almaları yönündeki uyarısı, bu sızıntının kripto para sektörüne etkisini öne çıkardı. API altyapılarına olan bağımlılık, kurumsal ekosistemi zincirleme bir tehdit altında bırakıyor.
Özellikle API anahtarları, otomasyon token’ları ve CI/CD kimlik bilgileri şirketlerin ana kod depolarında tutulduğunda, bir siber saldırıda büyük kayıpların önünü açabiliyor. Tek bir tedarik zinciri açığı, çok sayıda borsa, saklama ve veri servisini riske atıyor.
| Platform | Temel İşlev | Olası Risk |
|---|---|---|
| CoinStats API | Portföy yönetimi | Anahtar sızmasıyla kullanıcı fonlarının riski |
| CoinGecko API | Fiyat & piyasa verileri | Yanlış fiyat akışı, veri manipülasyonu |
| Infura | Blockchain node erişimi | Proje servisi kesintisi, ağ istismarı |
Son dönemde CoinGecko API, CoinMarketCap API, Infura, Alchemy, Kaiko ve Bitquery gibi araçlar piyasada önemli paya sahip. Geliştiriciler, işlem takibi ve güvenlik mekanizmalarını sağlayan bu araçların API altyapılarını düzenli şekilde gözden geçirme gerekliliğine dikkat çekiyorlar.
Yazılım güvenliği alanında uzman platformlar, doğru API kullanımının ve güncel kimlik bilgisi yönetiminin sürdürülebilir kripto projeleri için temel unsur olduğunu vurguluyor. Aksi durumda benzer saldırılar tekrar gündeme gelebilir.
