github üzerinden boryptgrab stealer dağıtılıyor, 100'den fazla repo var
arkadaşlar, github’da yeni bir malware kampanyası tespit edilmiş. boryptgrab diye bir stealer var, 100’den fazla sahte repository üzerinden dağıtılıyor. klasik sosyal mühendislik hareketi, open source proje gibi görünüyorlar ama içinde malware var.
ne var ne yok bu işte
boryptgrab isimli bu stealer şunların peşinde:
- tarayıcı verileri (şifreler, çerezler, otomatik doldurma bilgileri)
- kripto para cüzdanları (metamask, trust wallet falan)
- sistem bilgileri
- kullanıcı dosyaları
yani kısacası elinizde ne varsa almaya çalışıyor. özellikle kripto para cüzdanlarına göz dikmiş, o yüzden kripto işi yapanlar dikkat.
nasıl çalışıyor bu iş
saldırganlar github’da meşru görünen repository’ler oluşturmuşlar. genelde popüler araçların, kütüphanelerin veya utility’lerin kopyası gibi görünüyorlar. indirdiğinizde ve çalıştırdığınızda hop, malware sisteminize yerleşiyor.
spoiler: 100’den fazla repo tespit edilmiş, ama daha fazlası olabilir. github temizlik yapıyor ama yenileri de çıkabiliyor.
etkilenen sistemler
| Platform | Durum |
|---|---|
| Windows | ✅ Hedef platform |
| macOS | ⚠️ Muhtemelen etkileniyor |
| Linux | ⚠️ Muhtemelen etkileniyor |
| Kripto cüzdanları | ✅ Özellikle hedefte |
| Tarayıcılar | ✅ Tüm popüler tarayıcılar |
şimdi ne yapacaksınız
1. github’dan indirdiğiniz şeyleri kontrol edin
# son indirdiğiniz repo'ları listeleyin
ls -la ~/Downloads/
ls -la ~/Projects/
# şüpheli dosyaları tarayın
clamscan -r ~/Downloads/
2. sisteminizi tarayın
# windows için (powershell'de admin olarak)
Windows Defender'ı güncelleyin:
Update-MpSignature
Start-MpScan -ScanType FullScan
# linux için
sudo freshclam
sudo clamscan -r /home/
3. tarayıcı ve cüzdan verilerinizi kontrol edin
- tarayıcı şifrelerinizi değiştirin (özellikle kritik olanları)
- kripto cüzdanlarınızı kontrol edin, şüpheli işlem var mı bakın
- 2fa aktif değilse hemen aktif edin
- kripto cüzdanlarınızı yeni bir cüzdana taşımayı düşünün
4. github’dan indirme yaparken dikkatli olun
# repo'yu indirmeden önce:
# 1. hesabın yaşına bakın (yeni hesaplar şüpheli)
# 2. star/fork sayısına bakın
# 3. commit geçmişine bakın
# 4. issue ve pr'lara bakın
# 5. maintainer'ın diğer projelerine bakın
# indirdikten sonra virustotal'a atın:
# https://www.virustotal.com/
korunma önerileri
kısa vadeli:
- github’dan bir şey indirmeden önce iki kere düşünün
- bilmediğiniz, yeni açılmış hesaplardan repo indirmeyin
- indirdiğiniz dosyaları virustotal’a atın
- kripto işlemi yapıyorsanız hardware wallet kullanın
uzun vadeli:
- github’dan indirdiğiniz şeyleri sandbox ortamda test edin
- kripto cüzdanlarınızı ayrı bir makinede tutun
- önemli hesaplarınızda 2fa kullanın
- düzenli yedek alın (ama yedekleri de tarayın, malware bulaşmasın)
ek bilgiler
edit: github bu repo’ları tespit edip kaldırıyor ama yenileri de açılıyor. o yüzden sürekli dikkatli olun.
dikkat: bu tür kampanyalar genelde dalgalar halinde geliyor. bir süre durulur, sonra yeni bir dalga başlar. github’dan indirme yaparken her zaman temkinli olun.
tehdit göstergeleri (ioc)
şüpheli repo özellikleri:
- yeni açılmış hesaplar (birkaç gün/haftalık)
- çok az commit geçmişi
- readme dosyası kopyala-yapıştır
- garip isimler (meşru projelere çok benzer)
- exe/binary dosyaları direkt repo’da (normal değil)
- suspicious olarak işaretlenmiş
kaynaklar
- SecurityWeek - Over 100 GitHub Repositories Distributing BoryptGrab Stealer
- GitHub Security Advisory
- VirusTotal
sonuç olarak: github güvenli bir platform ama kötü niyetli tipler her yerde. indirmeden önce araştırın, indirdikten sonra tarayın, çalıştırmadan önce test edin. özellikle kripto işi yapıyorsanız ekstra dikkatli olun.
bu arada: eğer sisteminizde bu malware’i tespit ederseniz, hemen ağdan ayırın, şifrelerinizi değiştirin (başka bir makineden) ve kripto varlıklarınızı güvenli bir yere taşıyın.
şimdilik bu kadar, temiz kodlar dilerim agalar.
Bu içerik yapay zeka tarafından oluşturulmuştur.