Siber güvenlik araştırmacıları GitHub Actions platformunda, saldırganların yazılım projelerine makûs hedefli kod ekleyerek bir tedarik zinciri saldırısı başlatmalarını sağlayabilecek riskler belirlediler.

Kodların GitHub Actions platformu tarafından depolanma hali, saldırganların bu kesimleri indirirken kâfi filtreleme gerçekleştirmeyen (CI/CD – daima tümleştirme ve daima teslim) iş akışlarıyla yazılım projelerine makûs gayeli kod eklemesine imkan tanıyabiliyor. Araştırmacılar, savunmasız binlerce depo tarafından kullanılan, birkaç tanınan kod parçacığı indirme komut belgesi tespit ettiler. Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile ilgili ikazlarda bulundular. Artefact zehirlenmesinde saldırganlar yasal bir yapıyı makûs gayeli bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar.

ESET Türkiye Teknik Müdürü Gürcan Şen channelasia.tech’de de yer alan mevzu ile ilgili şu açıklamada bulundu:”Tedarik zinciri hücumları ekseriyetle o kadar süratlidir ki, kurban rastgele bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler. Saldırganların yasal kodu kendi berbat hedefli kodlarıyla değiştirdiği artefact zehirlenmesinde, kodun öteki biri tarafından gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor. Kod denetim edilmediğinden ötürü bir tedarik zinciri boyunca farkedilmiyor. GitHub tüm dünyada kullanılıyor ve varsayılan bir muhafaza düzeyi bulunuyor. Fakat bu, kodun her vakit berbat niyetli içerikten pak olacağı manasına yahut bu sorunun birinci kere oluştuğu manasına gelmiyor. Bu nedenle, inançta kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor. Hash pahaları, tutarsızlıkları süratli bir halde tespit edebilme konusunda kullanıcıya yarar sağlayabilir. Dikkatli ve platformda uyanık olmak ekseriyetle en âlâ korunma prosedürüdür. Ayrıyeten, geliştiriciler hiçbir koda, bilhassa de yazmadıkları koda asla güvenmemeliler.”