Bilgisayar & Donanım

GitHub'da 'Operation Muck and Load' Alarmı: 200'den Fazla Depoda Zararlı Yazılım

Haber Editörü · 11 Temmuz 2026

Siber güvenlik firması Socket tarafından yürütülen araştırmalar, Operation Muck and Load adı verilen geniş kapsamlı bir saldırı kampanyasını ortaya çıkardı. Bir DNS ve alt alan adı tarayıcısı gibi davranan ancak aslında Windows işletim sistemleri için ilk aşama zararlı yazılım yükleyicisi (loader) olarak çalışan Go modülleri, 190 farklı hesaba dağılmış 222 GitHub deposuna sızmış durumda.

Saldırı Mekanizması ve Yayılım Stratejisi

24 Ocak'ta ilk versiyonu yayınlanan modülün, GitHub Actions iş akışları kullanılarak hızla çoğaltıldığı belirlendi. Saldırganlar, her dakika güncellenen log dosyaları ve sahte commit işlemleriyle yazılımın sürüm geçmişini şişirerek güvenilirlik algısı yaratmaya çalıştı. Socket'in analizine göre, tüm bu operasyonun merkezinde ischhfd83@rambler.ru e-posta adresi yer alıyor.

Çok Katmanlı Yükleme ve Gizleme Yöntemleri

Modülün çalışma prensibi oldukça karmaşık bir yapıya sahip. main.go dosyası üzerinden gizli bir PowerShell komutu çalıştıran yazılım, muckcoding.com adresi üzerinden veri indiriyor. İndirilen içerik, Base64 kodlaması ve XOR şifreleme yöntemleriyle gizlenmiş çok katmanlı bir yükleyiciye sahip. Dikkat çeken bir detay olarak, kodun bir katmanında Türkçe dilinde "doğrudan çalıştırın, başka bir adıma gerek yok" şeklinde bir yorum satırına rastlandı.

Saldırganlar, payload (zararlı yük) URL'lerini doğrudan kodlamak yerine Pastebin, YouTube, Instagram, Telegram ve Google Docs gibi popüler platformları "ölü nokta" (dead drop) olarak kullanıyor. Bu yöntem, güvenlik ekipleri bir URL'yi engellediğinde, saldırganın ana yükleyiciye dokunmadan sadece dış platformdaki metni değiştirerek yeni bir indirme bağlantısı sunmasına olanak tanıyor.

Hangi Zararlı Yazılımlar Hedef Alıyor?

Sistemlere sızan yazılım, kendini meşru bir Microsoft Photos kurulumu gibi gösteren dizinlere çıkararak Microsoft.exe üzerinden çalışıyor. Analiz edilen örneklerde şu zararlı yazılım türleri tespit edildi:

Kullanıcıları Kandırmak İçin Kullanılan Temalar

Kullanıcıları bu modülleri indirmeye ikna etmek için popüler finansal araçlar ve oyun hileleri kullanıldı. Özellikle MetaMask, Trust Wallet, Binance ve PayPal otomasyonları ile PUBG, Valorant ve Escape from Tarkov gibi oyunlar için sunulan hile araçları üzerinden saldırılar gerçekleştirildiği belirlendi.

Go güvenlik ekibi, Socket'in raporu sonrası söz konusu modülü Go modül proxy'sinden engelleyerek önlem aldı.

Haberin tamamını sitede görüntüle →