Karmaşık bir tedarik zinciri saldırısı, GitHub'ın 3.800 dahili kod deposunu tehlikeye attı. Bu durum, liderlik göçü, kalıcı hizmet kesintileri ve artan rekabet tehditleriyle karşı karşıya olan Microsoft'un sahibi olduğu geliştirici platformundaki krizi derinleştiriyor. Finansal motivasyona sahip TeamPCP hacker grubu tarafından gerçekleştirilen ihlal, bir çalışanın Microsoft'un popüler kod düzenleyicisi Visual Studio Code için zehirli bir eklenti yüklemesinden kaynaklandı.
GitHub yaptığı açıklamada, "Kötü niyetli eklenti sürümünü kaldırdık, uç noktayı izole ettik ve olay müdahalesine hemen başladık" diyerek kritik sırların yenilendiğini doğruladı. Şirketin Baş Güvenlik Sorumlusu Alexis Wales, daha sonra saldırı vektörünün, 18 Mayıs'ta resmi mağazada sadece 18 dakika boyunca yayında kalan Nx Console eklentisinin v18.95.0 numaralı kötü niyetli sürümü olduğunu doğruladı. Kısa süreye rağmen, otomatik güncellemeler kötü niyetli paketi 6.000'den fazla kullanıcıya ulaştırmış olabilir.
CVE-2026-48027 tanımlayıcısı atanan saldırı, gizli bir paketten getirilen SANDCLOCK olarak bilinen bir kimlik bilgisi hırsızlığı yükünü içeriyordu. Saldırganlar için ilk giriş noktası, 11 Mayıs'ta açık kaynaklı geliştirici aracı TanStack'in daha önce ele geçirilmesiydi ve bu durum bir Nx Console geliştiricisinin GitHub kimlik bilgilerini çalmalarına olanak tanıdı. TeamPCP başlangıçta çalınan 3.800 depoyu 50.000 dolar karşılığında satışa sundu, daha sonra Lapsus$ hacker grubuyla ortaklık kurmuş gibi görünerek fiyatı 95.000 dolara çıkardı.
Güvenlik ihlali, eski CEO Thomas Dohmke'nin geçen yıl ayrılmasından sonra başlayan iç huzursuzluk dönemini daha da kötüleştiriyor. Microsoft bir halef atamamayı tercih etti ve bunun yerine GitHub'ı eski Meta yöneticisi Jay Parikh liderliğindeki CoreAI ekibine dahil etti. Bu hamleyi, 34 yıllık Microsoft emektarı Julia Liuson ve Baş Gelir Sorumlusu Elizabeth Pemmerl da dahil olmak üzere üst düzey liderlerin ayrılışı izledi. İstikrarsızlık ve sık sık yaşanan hizmet kesintileri, geliştiricilerin platformun güvenilirliğini açıkça sorgulamasına neden oldu ve bazı yüksek profilli projeler ayrıldıklarını duyurdu.
Genişleyen Bir Tedarik Zinciri Tehdidi
GitHub olayı, yazılım geliştirme ekosistemini hedef alan TeamPCP'nin (Google'ın Tehdit İstihbaratı grubu tarafından UNC6780 olarak izleniyor) aylardır süren kampanyasının en görünür sonucudur. Grubun yöntemi kendini tekrar eden bir döngüdür: kimlik bilgilerini çalmak için popüler bir geliştirici aracını ele geçirmek, ardından bu kimlik bilgilerini diğer araçların kötü niyetli sürümlerini yayınlamak için kullanarak erişimlerini genişletmek.
Grafana Labs, aynı ilk TanStack saldırısı yoluyla kendisinin de tehlikeye girdiğini doğruladı ve 16 Mayıs'ta bir fidye talebi aldı ancak ödemeyi reddetti. OpenAI'daki iki çalışan cihazı ve Mistral AI'daki bazı kod depoları da aynı saldırı dalgasında tehlikeye girdi.
BeyondTrust Corp. baş güvenlik danışmanı Morey Haber bir e-postada, "Geliştirici iş istasyonları artık etki alanı denetleyicileriyle aynı stratejik değere sahip" dedi. "Kaynak kod depolarına, sırlara, SSH anahtarlarına, bulut kimlik bilgilerine, imzalama sertifikalarına ve dağıtım hatlarına erişim, tek bir tehlikeye atılmış uç noktayı basamaklı bir tedarik zinciri olayına dönüştürebilir."
Microsoft'un Stratejik Zorluğu
GitHub, hiçbir müşteri kodunun etkilenmediğini savunurken, kendi platform kodunun ihlal edilmesi saldırganlara mimarisi hakkında fikir vererek gelecekteki sıfırıncı gün açıklarını potansiyel olarak mümkün kılıyor. Olay, 2018 yılında GitHub'ı 7,5 milyar dolar karşılığında satın alan Microsoft'un karşı karşıya olduğu stratejik zorluğu vurguluyor. Platform sadece bir ürün değil, Microsoft'un geliştirici topluluğuyla ilişkisinin temelidir.
Kriz, GitHub'ın yapay zeka destekli Copilot aracının, Cursor ve Claude Code gibi rakiplerine karşı ilk hamle avantajını kaybettiği bir dönemde geliyor. Dahili kaynaklar, Jay Parikh'in iş arkadaşlarına GitHub'ın "ciddi bir tehdit" ile karşı karşıya olduğu konusunda uyarıda bulunduğunu bildiriyor. Güvenlik hataları, operasyonel istikrarsızlık ve algılanan yön kaybı kombinasyonu, GitHub'ın en kritik varlığı olan geliştirici güvenini aşındırma riski taşıyor ve rakiplerin pazarı yeniden şekillendirmesi için bir açık yaratıyor.
Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
