{"id":12343,"date":"2024-05-30T17:14:59","date_gmt":"2024-05-30T14:14:59","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=12343"},"modified":"2024-05-30T17:14:59","modified_gmt":"2024-05-30T14:14:59","slug":"beware-github-malicious-links","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/beware-github-malicious-links\/12343\/","title":{"rendered":"“Resmi” GitHub ve GitLab ba\u011flant\u0131lar\u0131nda gizlenen k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m"},"content":{"rendered":"

En eski g\u00fcvenlik ipu\u00e7lar\u0131ndan biri \u015fudur: \u201cSadece resmi kaynaklardan yaz\u0131l\u0131m indirin.\u201d \u201cResmi kaynaklar\u201d genellikle her platformdaki ana uygulama ma\u011fazalar\u0131d\u0131r, ancak milyonlarca yararl\u0131 ve \u00fccretsiz a\u00e7\u0131k kaynakl\u0131 uygulama i\u00e7in en \u201cresmi\u201d kaynak, GitHub veya GitLab gibi \u00f6zel bir sitedeki geli\u015ftiricinin deposudur. Burada, projenin kaynak kodunu, d\u00fczeltmeleri ve koda yap\u0131lan eklemeleri ve genellikle uygulaman\u0131n kullan\u0131ma haz\u0131r bir derlemesini bulabilirsiniz. Bu siteler bilgisayar, yaz\u0131l\u0131m ve programlamaya en ufak bir ilgisi olan herkes i\u00e7in tan\u0131d\u0131kt\u0131r. Bu nedenle, github{.}com\/{User_Name}\/{Repo_Name}\/files\/{file_Id}\/{file_name}<\/em> gibi bir ba\u011flant\u0131dan eri\u015filebilen bir dosyan\u0131n geli\u015ftirici d\u0131\u015f\u0131nda biri taraf\u0131ndan yay\u0131nlanm\u0131\u015f olabilece\u011fi ve herhangi bir \u015fey i\u00e7erebilece\u011fi, BT g\u00fcvenlik uzmanlar\u0131 ve geli\u015ftiriciler de d\u00e2hil olmak \u00fczere bir\u00e7ok ki\u015fi i\u00e7in hi\u00e7 de ho\u015f olmayan bir ke\u015fif olmu\u015ftu.<\/p>\n

Tabii ki siber su\u00e7lular bundan hemen faydaland\u0131lar.<\/p>\n

Sorunu par\u00e7alara ay\u0131rmak<\/h2>\n

GitHub ve yak\u0131n akrabas\u0131 GitLab, yaz\u0131l\u0131m geli\u015ftirme projelerinde i\u015fbirli\u011fi yapmak amac\u0131yla kurulmu\u015ftur. Bir geli\u015ftirici kodunu y\u00fckleyebilir ve di\u011fer ki\u015filer bu kod i\u00e7in eklemeler, d\u00fczeltmeler sunabilir ve hatta uygulaman\u0131n veya k\u00fct\u00fcphanenin alternatif s\u00fcr\u00fcmleri olan \u00e7atallar olu\u015fturabilir. Bir kullan\u0131c\u0131 bir uygulamada bir hata buldu\u011funda, bunu bir sorun raporu olu\u015fturarak geli\u015ftiriciye bildirebilir. Di\u011fer kullan\u0131c\u0131lar yorumlarda sorunu do\u011frulayabilir. Ayr\u0131ca uygulaman\u0131n yeni s\u00fcr\u00fcmleri hakk\u0131nda yorum da yapabilirsiniz. Gerekirse yorumlara, hatay\u0131 g\u00f6steren ekran g\u00f6r\u00fcnt\u00fcleri veya uygulamay\u0131 \u00e7\u00f6kerten belgeler gibi dosyalar ekleyebilirsiniz. Bu dosyalar, yukar\u0131da a\u00e7\u0131klanan t\u00fcrde ba\u011flant\u0131lar kullan\u0131larak GitHub sunucular\u0131nda depolan\u0131r.<\/p>\n

Ancak GitHub\u2019\u0131n bir \u00f6zelli\u011fi vard\u0131r: Bir kullan\u0131c\u0131 bir yorum haz\u0131rlar ve beraberindeki dosyalar\u0131 y\u00fckler ancak \u201cYay\u0131nla\u201dya t\u0131klamazsa, bilgiler taslakta \u201ctak\u0131l\u0131p kal\u0131r\u201d ve hem uygulama sahibi hem de di\u011fer GitHub kullan\u0131c\u0131lar\u0131 taraf\u0131ndan g\u00f6r\u00fclemez. Bununla birlikte, yorumda y\u00fcklenen dosyaya do\u011frudan bir ba\u011flant\u0131 olu\u015fturulur ve bu tamamen \u00e7al\u0131\u015f\u0131r durumdad\u0131r. Takip eden herkes dosyay\u0131 GitHub\u2019\u0131n CDN\u2019sinden alabilir.<\/p>\n

\"Dosya<\/a>

Dosya GitHub\u2019da yay\u0131nlanmam\u0131\u015f bir yoruma eklendikten sonra k\u00f6t\u00fc ama\u00e7l\u0131 bir dosya i\u00e7in indirme ba\u011flant\u0131s\u0131 olu\u015fturulur<\/p><\/div>\n

Bu arada, bu dosyan\u0131n yorumlarda yay\u0131nland\u0131\u011f\u0131 deponun sahipleri dosyay\u0131 silemez veya engelleyemez. Bundan haberleri bile olmaz! Ayr\u0131ca, bu t\u00fcr dosyalar\u0131n bir b\u00fct\u00fcn olarak depoya y\u00fcklenmesini k\u0131s\u0131tlayacak herhangi bir ayar da bulunmamaktad\u0131r. Tek \u00e7\u00f6z\u00fcm yorumlar\u0131 tamamen devre d\u0131\u015f\u0131 b\u0131rakmakt\u0131r (GitHub\u2019da bunu alt\u0131 aya kadar yapabilirsiniz), ancak bu geli\u015ftiricileri geri bildirimden mahrum b\u0131rakacakt\u0131r.<\/p>\n

GitLab\u2019\u0131n yorumlama mekanizmas\u0131 da benzerdir ve dosyalar\u0131n taslak yorumlar arac\u0131l\u0131\u011f\u0131yla yay\u0131nlanmas\u0131na izin verir. Dosyalara gitlab.com\/{User_Name}\/{Repo_Name}\/uploads\/{file_Id}\/{file_name}<\/em> gibi bir ba\u011flant\u0131 arac\u0131l\u0131\u011f\u0131yla eri\u015filebilir.<\/p>\n

Ancak, bu durumda sorun, yaln\u0131zca kay\u0131tl\u0131, oturum a\u00e7m\u0131\u015f GitLab kullan\u0131c\u0131lar\u0131n\u0131n dosya y\u00fckleyebilmesi sayesinde biraz hafifletilmi\u015f olur.<\/p>\n

Kimlik av\u0131 kampanyalar\u0131 i\u00e7in bir hediye<\/h2>\n

GitHub\/GitLab ile ba\u015flayan ve sayg\u0131n geli\u015ftiricilerin ve pop\u00fcler projelerin adlar\u0131n\u0131 i\u00e7eren ba\u011flant\u0131larda rastgele dosyalar yay\u0131nlama yetene\u011fi sayesinde (\u00e7\u00fcnk\u00fc neredeyse her depoda bir dosya ile yay\u0131nlanmam\u0131\u015f bir yorum b\u0131rak\u0131labilir), siber su\u00e7lulara \u00e7ok ikna edici kimlik av\u0131 sald\u0131r\u0131lar\u0131 ger\u00e7ekle\u015ftirme f\u0131rsat\u0131 sunulmaktad\u0131r. Oyunlar i\u00e7in hile uygulamalar\u0131 i\u00e7erdi\u011fi varsay\u0131lan \u201cyorumlar\u0131n\u201d Microsoft depolar\u0131na b\u0131rak\u0131ld\u0131\u011f\u0131 k\u00f6t\u00fc niyetli kampanyalar<\/a> zaten ke\u015ffedilmi\u015fti.<\/p>\n

Dikkatli bir kullan\u0131c\u0131 bir oyun hilesinin neden Microsoft deposunda oldu\u011funu merak edebilir: https:\/\/github{.}com\/microsoft\/vcpkg\/files\/\u2026..\/Cheat.Lab.zip<\/em>. Ancak \u201cGitHub\u201d ve \u201cMicrosoft\u201d anahtar kelimelerinin, ba\u011flant\u0131y\u0131 daha fazla incelemeyecek olan kurban\u0131 rahatlatmas\u0131 \u00e7ok daha muhtemeldir. Daha ak\u0131ll\u0131 su\u00e7lular, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n\u0131 daha da dikkatli bir \u015fekilde gizleyebilir, \u00f6rne\u011fin GitHub veya GitLab arac\u0131l\u0131\u011f\u0131yla da\u011f\u0131t\u0131lan bir uygulaman\u0131n yeni bir s\u00fcr\u00fcm\u00fc olarak sunabilir ve bu uygulamadaki \u201cyorumlar\u201d arac\u0131l\u0131\u011f\u0131yla ba\u011flant\u0131lar yay\u0131nlayabilir.<\/p>\n

GitHub ve GitLab\u2019da kendinizi k\u00f6t\u00fc ama\u00e7l\u0131 i\u00e7erikten nas\u0131l korursunuz?<\/h2>\n

Bu tasar\u0131m hatas\u0131 d\u00fczeltilmedi\u011fi ve herkes GitHub ve GitLab\u2019\u0131n CDN\u2019ine serbest\u00e7e rastgele dosya y\u00fckleyebildi\u011fi s\u00fcrece, bu platformlar\u0131n kullan\u0131c\u0131lar\u0131n\u0131n son derece dikkatli olmas\u0131 gerekmektedir.<\/p>\n