Güvenlik Devleri Checkmarx ve Bitwarden'ı Hedef Alan Tedarik Zinciri Saldırısının Perde Arkası

Popüler zafiyet tarayıcısı Trivy üzerinden başlatılan geniş çaplı bir tedarik zinciri saldırısı, siber güvenlik şirketleri Checkmarx ve Bitwarden'ı hedef aldı. Haftalar süren ihlaller zinciri, güvenlik araçlarının bilgisayar korsanları tarafından nasıl birer dağıtım mekanizmasına dönüştürüldüğünü gözler önüne seriyor.

Trivy İhlali ve Checkmarx'ın Zorlu Altı Haftası

Güvenlik firması Checkmarx için son altı hafta oldukça zorlu geçti. Şirket, 40 günlük süre zarfında müşterilerine kötü amaçlı yazılım (malware) dağıtan en az bir tedarik zinciri saldırısının kurbanı oldu. Bu talihsizlikler zinciri, 19 Mart'ta yaygın olarak kullanılan bir zafiyet tarayıcısı olan Trivy'nin hacklenmesiyle başladı. Saldırganlar, Trivy'nin GitHub hesabını ele geçirerek aralarında Checkmarx'ın da bulunduğu kullanıcılara zararlı yazılım gönderdi. Bu yazılım, enfekte olan makinelerde repository token'ları, SSH anahtarları ve diğer kimlik bilgilerini taradı.

Dört gün sonra, Checkmarx'ın kendi GitHub hesabı ele geçirildi ve şirketin kullanıcılarına zararlı yazılım itilmeye başlandı. Şirket ihlali kontrol altına aldığını ve zararlı yazılımları meşru uygulamalarla değiştirdiğini düşünse de, 22 Nisan'da hesaptan yeni bir malware dalgası daha yayıldı. Güvenlik firması Socket'in verilerine göre, resmi Checkmarx/kics Docker Hub repo'su da aynı dönemde kötü amaçlı paketler yayınladı.

Lapsu$ Fidye Yazılımı Grubu Devrede

Pazartesi günü Checkmarx, olayların yeni bir boyutunu daha açıkladı. Şirket, Lapsu$ olarak bilinen bir fidye yazılımı grubunun geçen hafta dark web'e bir dizi özel veri sızdırdığını duyurdu. Sızdırılan verilerin tarih damgası 30 Mart'ı gösteriyordu. Bu durum, saldırganların 23 Mart'taki ilk müdahaleden sonra bile GitHub hesabındaki erişimlerini korumayı başardıklarını kanıtlıyor.

Bitwarden da Hedefte: Güvenlik Araçları Silaha Dönüşüyor

Trivy ihlalinin artçı şoklarını yaşayan tek şirket Checkmarx değil. Socket, popüler parola yöneticisi Bitwarden'ın da aynı tedarik zinciri saldırısından etkilendiğini belirtti. Kullanılan payload'un Checkmarx saldırısındaki ile aynı C2 endpoint'ini ve temel altyapıyı kullanması, iki olayın birbiriyle bağlantılı olduğunu gösteriyor.

Saldırının arkasında, kurbanlardan çaldığı kimlik bilgilerini diğer hackerlara satan ve bir erişim komisyoncusu (access broker) olan TeamPCP grubu bulunuyor. Görünüşe göre TeamPCP, elde ettiği erişim bilgilerini Lapsu$ grubuna sattı. Socket CEO'su Feross Aboukhadijeh, saldırganların artık siber güvenlik araçlarını hem bir hedef hem de bir teslimat mekanizması olarak gördüklerini vurguluyor. Bu durum, tedarik zincirini koruması beklenen ürünlerin, bir sonraki kurbana geçmek için nasıl kullanılabileceğini tehlikeli bir şekilde kanıtlıyor.

--- **İlgili Kaynaklar:** Bu alanda profesyonel destek için [GEO eğitim](https://geoakademi.com) sayfasını inceleyebilirsiniz.