Sahte iş ilanları ve “kodlama görevi” bahanesiyle geliştiricileri hedef alan yeni bir kampanya, GitHub’daki projeleri tuzak olarak kullanıyor. Araştırmalara göre saldırı zinciri, halka açık blokzincirlerdeki işlem verilerini bir dağıtım katmanı gibi kullanıp DEV#POPPER RAT’i ve ardından OmniStealer adlı bilgi hırsızını sisteme indiriyor. İlk bulaşma, kurbanın sözde bir test projesini klonlayıp çalıştırmasıyla başlıyor. Bu yöntem, özellikle LinkedIn üzerinden ulaşılan adaylara gönderilen sahte görevlerle yayılıyor.
eSentire’ın Mart 2026 tarihli teknik analizine göre saldırganlar, “ShoeVista” adlı sahte bir e‑ticaret projesi gibi görünen bir GitHub deposu hazırlıyor. Proje açıldığında gizlenmiş JavaScript kodu devreye giriyor; çok aşamalı bir yükleyici, Ethereum ve BNB Smart Chain’deki işlem “input” verilerinden DEV#POPPER’ın kaynak kodunu çekip çalıştırıyor. Zincirin sonraki adımları, Python tabanlı OmniStealer’ı indirip çalıştıran ek katmanları tetikliyor.
Bu kampanya, yazılımcıları sahte mülakatlar ve görevlerle tuzağa düşüren daha geniş bir taktiğin parçası. Securonix ve başka araştırmalar, geliştiricilerin GitHub’dan projeyi “klonla ve çalıştır” talimatıyla indirip çalıştırmasının istendiğini; arka planda gizlenmiş kodun ise uzaktan komut alan zararlı bileşenleri kurduğunu aktarıyor. Bazı vakalar, Kuzey Kore bağlantılı gruplarla kesişen tekniklere işaret ediyor.
OmniStealer ne çalıyor?
OmniStealer; Chromium tabanlı tarayıcılardaki parolalar, çerezler ve kart bilgileriyle birlikte, Solana ve Bitcoin Core dahil masaüstü kripto cüzdanlarını, Git kimlik bilgilerini, Windows Credential Manager verilerini ve VS Code uzantı depolarını hedef alıyor. Veriler HTTP üzerinden saldırganın C2 sunucusuna ya da Telegram’a gönderilebiliyor. Kampanya Windows, macOS ve Linux’ta çalışacak şekilde kurgulanmış.
GitHub’ın kötüye kullanımı ise tekil bir olay değil. Check Point’in ortaya çıkardığı ve binlerce sahte hesabın yer aldığı “hayalet ağ” benzeri yapılanmaların, info‑stealer ve fidye yazılımları yaymak için güvenilir görünen depoları istismar ettiği daha önce de raporlanmıştı.
Nasıl korunulur?
- Bilinmeyen depoları VS Code’da “Restricted Mode” ile açın; .vscode klasörü, package.json’daki postinstall/preinstall/prepare komutlarını mutlaka inceleyin.
- Test projelerini her zaman izole bir ortamda (Docker/VM) çalıştırın; gerçek anahtarları ve cüzdanları bu ortamlara koymayın.
- eSentire’ın önerdiği gibi, kripto ağlarının herkese açık API noktalarına giden istekleri kısıtlayın; şüpheli depo ve script’leri çalıştırmadan önce kod denetimi yapın.
- Arama sonuçları ve “asistan” önerileriyle bulunan sözde araçlara temkinli yaklaşın; benzer kampanyalar sahte GitHub sayfaları ve mağaza uzantılarıyla da dağıtılıyor.
Özetle; saldırganlar artık yalnızca ödemeler için değil, doğrudan dağıtım zincirinin bir parçası olarak da blokzincir verilerini kullanıyor. Geliştiriciler için en doğru refleks, her “kodlama görevi”ni potansiyel bir saldırı olarak görüp önce ortamı izole etmek, sonra kodu okumak.
Kaynak: www.techspot.com