GitHub, Zehirli VS Code Eklentisi ile 3,800 Repo İhlalini Onayladı

GitHub ciddi bir iç güvenlik ihlali ile karşı karşıya. Şirket, 20 Mayıs 2026 tarihinde, hackerların zehirli bir VS Code eklentisi kullanarak bir çalışanın cihazını ele geçirdiğini doğruladı. Yaklaşık 3,800 iç reposuna yetkisiz erişim sağladılar.

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…

— GitHub (@github) May 20, 2026

GitHub, cihazı izole ederek, zararlı eklentiyi kaldırarak ve tespit sonrası kritik kimlik bilgilerini birkaç saat içinde değiştirdi. Önemli olarak, şirket şu anda müşteri verileri, kurumsal hesaplar veya kullanıcı reposu üzerinde bir etki olduğuna dair herhangi bir kanıt bulunmadığını belirtiyor. Bugünkü GitHub haberi, özel reposlarda API anahtarları saklayan her geliştirici için açık bir hatırlatma niteliğinde.

Saldırının Nasıl Gerçekleştiği

Saldırı vektörü aldatıcı bir şekilde basitti. Bir tehdit aktörü, bir VS Code eklentisi içine kötü amaçlı yazılım yerleştirdi. Bir GitHub çalışanı, zehirli versiyonu yükledi. Buradan, saldırgan çalışanın cihazına erişim sağladı ve iç reposlardan veri sızdırmaya başladı.

GitHub, zaman çizelgesini doğrudan kamuya açık bir dizide doğruladı. “Dün, zehirli bir VS Code eklentisi içeren bir çalışanın cihazında bir ihlali tespit edip kontrol altına aldık,” dedi şirket. “Zararlı eklenti versiyonunu kaldırdık, uç noktayı izole ettik ve hemen olay müdahalesine başladık.”

Tehdit grubu TeamPCP, o zamandan beri yeraltı siber suç forumlarında sorumluluğu üstlendi. Grup, yaklaşık 4,000 özel repodan veri elde ettiğini iddia ediyor. Bu, özel platform kaynak kodunu ve iç organizasyon dosyalarını içeriyor ve veri setini 50,000 dolardan fazla bir fiyata satmaya çalıştığı bildiriliyor. GitHub, saldırganın yaklaşık 3,800 repoya dair iddiasının “yönsel olarak tutarlı” olduğunu değerlendirdi.

GitHub’ın Yanıtı

Güvenlik ihlali yanıtı, aynı anda birden fazla cephede ilerledi. GitHub, tespit günü kritik sırları değiştirdi ve en yüksek etkiye sahip kimlik bilgilerini önceliklendirdi. Güvenlik ekibi, etkilenen uç noktayı hemen izole etti. Analistler, herhangi bir takip etkinliği için günlükleri sürekli olarak inceliyor. Ayrıca, pazar yeri zararlı VS Code eklentisi versiyonunu dolaşımdan kaldırdı. GitHub, soruşturma tamamlandığında daha kapsamlı bir rapor yayınlayacağını taahhüt etti. Herhangi bir müşteri etkisi tespit edilirse, müşterileri kurulu olay müdahale kanalları aracılığıyla bilgilendireceklerini taahhüt ettiler.

Sektör Tepkisi

Daha geniş geliştirici topluluğu hızlı bir şekilde yanıt verdi. Binance kurucusu CZ, izleyicilerine doğrudan bir tavsiye verdi. “Eğer kodunuzda API anahtarlarınız varsa, hatta özel reposlarda bile, şimdi kontrol etme ve değiştirme zamanı,” diye yazdı ve GitHub’ın güvenlik ihlali haberini dünya genelindeki milyonlarca geliştiriciye duyurdu. Bu tavsiye önleyici değil, acil. Geliştiriciler sıklıkla API anahtarlarını, kimlik doğrulama tokenlarını ve hizmet kimlik bilgilerini özel reposlarda saklıyor, bunların ifşadan güvende olduğunu varsayıyorlar.

Geliştiriciler için Daha Büyük Resim

GitHub’dan gelen bu ölçekli güvenlik ihlali haberi, büyük sonuçlar doğuruyor. Bunun nedeni, GitHub’ın 100 milyondan fazla repo barındırması ve küresel geliştirici ekosistemi için birincil kod altyapısı olarak hizmet etmesidir. Dolayısıyla, müşteri verisi ifşası olmadan bile iç repoları hedef alan bir ihlal, tedarik zinciri tehditlerinin temsil ettiği büyük saldırı yüzeyini ortaya koyuyor.

Geliştiriciler için üç acil eylem önemlidir. İlk olarak, özel veya genel reposlarda saklanan herhangi bir API anahtarını değiştirmek. İkincisi, VS Code’daki eklenti listelerini denetlemek ve doğrulanmamış olanları kaldırmak. Son olarak, ifşa edilen kimlik bilgilerini otomatik olarak yakalamak için repo gizli taramasını etkinleştirmek. Soruşturma devam etse de, GitHub’ın bu süreçteki şeffaflığı dikkat çekici. Yayınlandığında daha kapsamlı rapor, teknoloji alanındaki her güvenlik ekibi için önemli bir okuma olacaktır.