Tedarik Zinciri Haberleri
Teknoloji

Kuzey Kore Bağlantılı Void Dokkaebi, Sahte İş Görüşmeleriyle Geliştiricileri Kandırarak Kendini Yayan Tedarik Zinciri

Yazar: Sedat Onat
Void DokkaebiFamous ChollimaKuzey KoreTrend MicroGBHackersVisual Studio CodeGitHubGitLabDEV#POPPERtedarik zinciri saldırısı
Kuzey Kore siber tehdit görseli — Void Dokkaebi/Famous Chollima saldırı kampanyasını temsil ediyor
Kuzey Kore Bağlantılı Void Dokkaebi, Sahte İş Görüşmeleriyle Geliştiricileri Kandırarak Kendini Yayan Tedarik Zinciri
0:00
0:00

Kuzey Kore bağlantılı devlet destekli tehdit grubu Void Dokkaebi — diğer adıyla Famous Chollima — sahte iş görüşmeleriyle geliştiricileri kandırarak kendini yayan bir tedarik zinciri saldırısı yürütüyor. GBHackers News'a göre saldırılar; saldırganların kripto para veya yapay zekâ şirketi işe alımcılarını taklit etmesiyle başlıyor.

Trend Micro araştırmacılarının analizine göre saldırganlar; geliştiricileri bir kodlama sınavını tamamlamak için GitHub veya GitLab depolarını indirmeye yönlendiriyor. Bu depolar; kötücül Visual Studio Code yapılandırmaları içeriyor ve depoyu açan geliştiricinin sisteminde otomatik görev çalışmasını ve kötü amaçlı yazılım enfeksiyonunu tetikliyor. Etkilenen geliştiricinin kötücül .vscode yapılandırmalı kodu deposuna commit etmesiyle, bu deponun klonlanması her yeni mağduru yayıcıya dönüştürüyor.

Void Dokkaebi; ayrıca doğrudan kod enjeksiyonu yaptı ve bu sızmayı bir git history yeniden yazma commit tampering aracıyla gizledi. Çoklu blok zinciri ağları, çeşitli yüklerin (örneğin DEV#POPPER uzaktan erişim trojanı) barındırılması ve dağıtılması için kullanıldı.

Kampanya; 750'den fazla deponun ele geçirilmesine, 500'den fazla kötücül VS Code görev yapılandırmasının oluşturulmasına ve commit tampering aracının 101 depoya enjekte edilmesine yol açtı. Olay; geliştirici ekosisteminde tedarik zinciri güvenliği için yeni bir tehdit vektörünün — VS Code workspace yapılandırmaları üzerinden yayılma — sistemli biçimde işlerlik kazandığını gösteriyor.


Önemli Notlar:
1. Kuzey Kore bağlantılı Void Dokkaebi (Famous Chollima), sahte iş görüşmeleriyle geliştiricileri hedef alıyor.
2. Trend Micro analizine göre saldırı VS Code workspace yapılandırmaları üzerinden yayılıyor.
3. 750+ depo ele geçirildi; 500+ kötücül VS Code görev yapılandırması oluşturuldu.
4. Commit tampering aracı 101 depoya enjekte edildi; DEV#POPPER RAT yükü blok zincirleri üzerinden dağıtıldı.
5. Yeni vektör: GitHub/GitLab kodlama sınavı bahanesiyle developer makinesinin tehlikeye atılması.