Siber güvenlik araştırmacıları GitHub Actions platformunda saldırganların yazılım projelerine berbat emelli kod ekleyerek bir tedarik Manavgat Escort zinciri saldırısı başlatmalarını sağlayabilecek riskler belirlediler
Kodların GitHub Actions platformu tarafından depolanma hali saldırganların bu modülleri indirirken kâfi filtreleme gerçekleştirmeyen CI CD daima tümleştirme ve daima teslim iş akışlarıyla yazılım Escort Manavgat projelerine makûs hedefli kod eklemesine imkan tanıyabiliyor Araştırmacılar savunmasız binlerce depo tarafından kullanılan birkaç tanınan kod parçacığı indirme komut evrakı tespit ettiler Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile Manavgat Escort bayan ilgili ihtarlarda bulundular Artefact zehirlenmesinde saldırganlar yasal bir yapıyı berbat gayeli bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar
ESET Türkiye Teknik Müdürü Gürcan Şen channelasia tech de de yer alan bahis ile ilgili şu açıklamada bulundu Tedarik zinciri atakları ekseriyetle o kadar süratlidir ki kurban rastgele bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler Saldırganların yasal kodu kendi berbat maksatlı kodlarıyla değiştirdiği artefact zehirlenmesinde kodun öbür biri tarafından gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor Kod denetim edilmediğinden ötürü bir tedarik zinciri boyunca fark edilmiyor GitHub tüm dünyada kullanılıyor ve varsayılan bir muhafaza düzeyi bulunuyor Lakin bu kodun her vakit makûs niyetli içerikten pak olacağı manasına yahut bu sorunun birinci kere oluştuğu manasına gelmiyor Bu nedenle inançta kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor Hash pahaları tutarsızlıkları süratli bir halde tespit edebilme konusunda kullanıcıya yarar sağlayabilir Dikkatli ve platformda uyanık olmak ekseriyetle en güzel korunma prosedürüdür Ayrıyeten geliştiriciler hiçbir koda bilhassa de yazmadıkları koda asla güvenmemeliler
