GitHub'da 'Operation Muck and Load' Alarmı: 200'den Fazla Depoda Zararlı Yazılım
Siber güvenlik firması Socket tarafından yürütülen araştırmalar, Operation Muck and Load adı verilen geniş kapsamlı bir saldırı kampanyasını ortaya çıkardı. Bir DNS ve alt alan adı tarayıcısı gibi davranan ancak aslında Windows işletim sistemleri için ilk aşama zararlı yazılım yükleyicisi (loader) olarak çalışan Go modülleri, 190 farklı hesaba dağılmış 222 GitHub deposuna sızmış durumda.
Saldırı Mekanizması ve Yayılım Stratejisi
24 Ocak'ta ilk versiyonu yayınlanan modülün, GitHub Actions iş akışları kullanılarak hızla çoğaltıldığı belirlendi. Saldırganlar, her dakika güncellenen log dosyaları ve sahte commit işlemleriyle yazılımın sürüm geçmişini şişirerek güvenilirlik algısı yaratmaya çalıştı. Socket'in analizine göre, tüm bu operasyonun merkezinde ischhfd83@rambler.ru e-posta adresi yer alıyor.
Çok Katmanlı Yükleme ve Gizleme Yöntemleri
Modülün çalışma prensibi oldukça karmaşık bir yapıya sahip. main.go dosyası üzerinden gizli bir PowerShell komutu çalıştıran yazılım, muckcoding.com adresi üzerinden veri indiriyor. İndirilen içerik, Base64 kodlaması ve XOR şifreleme yöntemleriyle gizlenmiş çok katmanlı bir yükleyiciye sahip. Dikkat çeken bir detay olarak, kodun bir katmanında Türkçe dilinde "doğrudan çalıştırın, başka bir adıma gerek yok" şeklinde bir yorum satırına rastlandı.
Saldırganlar, payload (zararlı yük) URL'lerini doğrudan kodlamak yerine Pastebin, YouTube, Instagram, Telegram ve Google Docs gibi popüler platformları "ölü nokta" (dead drop) olarak kullanıyor. Bu yöntem, güvenlik ekipleri bir URL'yi engellediğinde, saldırganın ana yükleyiciye dokunmadan sadece dış platformdaki metni değiştirerek yeni bir indirme bağlantısı sunmasına olanak tanıyor.
Hangi Zararlı Yazılımlar Hedef Alıyor?
Sistemlere sızan yazılım, kendini meşru bir Microsoft Photos kurulumu gibi gösteren dizinlere çıkararak Microsoft.exe üzerinden çalışıyor. Analiz edilen örneklerde şu zararlı yazılım türleri tespit edildi:
- AsyncRAT, Quasar ve Remcos: Uzaktan erişim trojanları.
- Vidar: Bilgi çalan (infostealer) yazılımlar.
- XMRig: Monero tabanlı kripto para madenciliği yapan yazılımlar.
Kullanıcıları Kandırmak İçin Kullanılan Temalar
Kullanıcıları bu modülleri indirmeye ikna etmek için popüler finansal araçlar ve oyun hileleri kullanıldı. Özellikle MetaMask, Trust Wallet, Binance ve PayPal otomasyonları ile PUBG, Valorant ve Escape from Tarkov gibi oyunlar için sunulan hile araçları üzerinden saldırılar gerçekleştirildiği belirlendi.
Go güvenlik ekibi, Socket'in raporu sonrası söz konusu modülü Go modül proxy'sinden engelleyerek önlem aldı.