Son dönemde malvertising kampanyalarında yeni bir yöntem dikkat çekiyor: Saldırganlar, sahte GitHub commitleri içine gömülü ve kullanıcıları kontrol ettikleri altyapıya yönlendiren değiştirilmiş bağlantılar kullanıyor. Arctic Wolf’un raporuna göre, bu bağlantılar GitHub gibi güvenilir platformlara işaret ediyor gibi görünse de, altta yatan URL’ler kötü amaçlı sitelere yönlendirilmek üzere manipüle ediliyor.
Aralık 2024’ten beri Batı Avrupa’daki BT ve yazılım geliştirme firmalarını hedef alan bu sahte commitler, kullanıcıları “gitpage[.]app” alan adında barındırılan zararlı indirmelere yönlendiriyor. İlk tespit 19 Ağustos 2025 tarihinde gerçekleşti.
GPUGate: GPU Destekli Şifre Çözme ve Analizden Kaçış
İlk aşamada dağıtılan zararlı, 128 MB boyutundaki şişirilmiş bir Microsoft Yazılım Yükleyicisi (MSI) dosyası. GPU destekli şifre çözme rutini, gerçek GPU olmayan sistemlerde yükü şifreli tutarak analiz araçlarından kaçınıyor. Bu teknik GPUGate olarak adlandırılıyor. Siber güvenlik uzmanları, uygun GPU sürücüsü olmayan sistemlerin genellikle sanal makineler, sandbox ortamları veya eski analiz platformları olduğunu belirtiyor.
Zararlı, cihaz adı 10 karakterden kısa veya GPU fonksiyonları yoksa yürütmeyi durduruyor. Ayrıca, dolgu amaçlı gereksiz dosyalar ekleyerek analiz zorluğunu artırıyor.
PowerShell ve Visual Basic Script ile Kalıcılık ve Savunma Atlatma
Saldırı zinciri, Visual Basic Script çalıştırılmasıyla devam ediyor. Bu script, yönetici ayrıcalıklarıyla çalışan bir PowerShell scriptini tetikliyor. PowerShell scripti Microsoft Defender hariç tutmaları ekliyor, zamanlanmış görevlerle kalıcılık sağlıyor ve indirilen ZIP arşivinden çıkarılan dosyaları çalıştırıyor. Rusça yorumlar, tehdit aktörlerinin ana dilinin Rusça olduğunu gösteriyor.
Çapraz Platform ve Sosyal Mühendislik Bağlantıları
Tehdit aktörlerinin kullandığı alan adı, Atomic macOS Stealer (AMOS) için hazırlık alanı olarak da kullanılıyor. Bu durum, kampanyanın çapraz platform hedeflerine işaret ediyor. Ayrıca, Acronis’in Mart 2025’ten beri ABD’deki sosyal mühendislik saldırılarında ConnectWise ScreenConnect üzerinden AsyncRAT, PureHVNC RAT ve özel PowerShell tabanlı RAT kullanımı raporlarıyla paralellik gösteriyor.
Phantom Commit Injection ve Malvertising Kampanyaları
GMO Cybersecurity by Ierae, Eylül 2025’ten itibaren geliştiricileri hedef alan bu kampanyayı Phantom Commit Injection olarak adlandırdı. Palo Alto Network Unit 42 ise Ağustos 2025’ten beri resmi GitHub depolarında asılı kalan sahte commitlerle kullanıcıları sahte GitHub masaüstü istemcisi indirmeye yönlendiren malvertising faaliyetini izliyor. Saldırganlar, fork işlevini kötüye kullanarak meşru depolara kötü amaçlı commit ekliyor ve bu bağlantılar kullanıcılar tarafından doğrulanmış gibi algılanabiliyor.
Bu gelişmeler, yazılım tedarik zinciri güvenliği ve uç nokta savunmalarının önemini bir kez daha ortaya koyuyor.