Banana Squad, Sahte GitHub Depolarında Veri Çalan Kötü Amaçlı Yazılımları Gizliyor

ReversingLabs araştırmacıları yakın zamanda Banana Squad adlı bir grup tarafından yönetilen yeni ve endişe verici bir saldırı yöntemini ortaya çıkardı. İlk olarak Checkmarx araştırmacıları tarafından Ekim 2023'te tanımlanan bu grup, sinsi yöntemleriyle biliniyor ve isimleri erken dönem zararlı bir internet adresi olan bananasquadru geliyor.

Baş Kötü Amaçlı Yazılım Araştırmacısı Robert Simmons'ın da aralarında bulunduğu ReversingLabs ekibi, GitHub'da depolar adı verilen 60'tan fazla sahte proje klasörü buldu. Bu klasörler Python'da yazılmış gerçek bilgisayar korsanlığı araçları gibi görünüyordu, ancak aslında truva atıydılar, yani gizli kötü amaçlı kod içeriyorlardı.

Araştırmacılar, Hackread.com ile paylaştıkları blog yazısında , Banana Squad'ın Nisan 2023'te başlayan önceki saldırılarında çeşitli kullanıcı adları altında yüzlerce kötü yazılım paketi çıkardığını belirtti. Bu programlar Windows bilgisayarlar için tasarlanmıştı ve parayı yeniden yönlendirerek bilgisayarlar, uygulamalar, web tarayıcıları ve hatta kripto para cüzdanlarından gelen bilgiler de dahil olmak üzere "kapsamlı miktarda hassas veri çalmayı" amaçlıyordu.

Bu kötü paketler bulunup kaldırılmadan önce yaklaşık 75.000 kez indirildi. Daha yakın zamanda, Kasım 2024'te, dieserbenniru adresinde bulunan Banana Squad'dan zararlı bir proje yeni bir numara gösterdi. Uzun kod satırlarının sarılmadığı bir GitHub özelliği kullandılar.

Ek olarak, saldırganlar kötü amaçlı kodlarını ekranın dışına itmek için birçok boşluk eklediler ve bu da koda bakan biri için görünmez hale getirdi. Bu, gizli tehlikeyi fark etmeyi çok daha zor hale getiriyor. Genellikle yalnızca bir projenin listelendiği sahte kullanıcı hesapları, Banana Squad tarafından bu zararlı depoları barındırmak için yaygın olarak kullanılır.

Banana Squad'ın belirli faaliyetlerinin ötesinde, OSS riskindeki genel artış devam eden sorunlara işaret ediyor. ReversingLabs'ın 2025 için hazırladığı yeni bir rapor , açık kaynaklı yazılımların (OSS) güvenliğinde değişen bir tabloyu gösteriyor.

OSS depolarında bulunan genel kötü amaçlı yazılımlar 2024 yılında önemli ölçüde azalırken (npm, PyPI ve RubyGems gibi platformlarda 2023'e kıyasla %70'lik bir azalma), OSS'den kaynaklanan yazılım geliştirme riski aslında artıyor.

Bu tehdit aktörleri daha akıllı hale geliyor. GitHub gibi platformlarda, yalnızca basit kötü amaçlı yazılım yüklemek yerine, saldırmak için daha gizli ve karmaşık yollar kullanıyorlar. Kötü amaçlı yazılım azaltmadaki bu olumlu eğilim, kısmen zorunlu iki faktörlü kimlik doğrulama (2FA) ve 2023'te başlatılan OpenSSF'nin Kötü Amaçlı Paketler Deposu gibi daha iyi güvenlik önlemleri sayesindedir.

Diğer raporlar, 2024'te hassas oturum açma ayrıntılarının ifşa edildiği gizli sızıntılarda artış gibi sorunlara işaret ediyor. Ayrıca, en iyi OSS paketlerine bakıldığında birçok güvenlik açığı ve kod çürümesi ortaya çıktı - eski, bakımı yapılmamış kodlara güvenilmesi. Bu, popülerliğin güvenlik anlamına gelmediği anlamına geliyor. Gelişen tehdit, açık kaynaklı yazılım kullanan herkesin daha dikkatli olması ve Banana Squad ve diğer ortaya çıkan tehditler gibi gruplardan güvende kalmak için daha iyi araçlar kullanması gerektiği anlamına geliyor.