Geliştiricilere Yönelik Yeni Bir Tehdit: GlassWorm
Son dönemlerde siber güvenlik alanında meydana gelen gelişmeler, geliştiricilerin hedef alındığını açıkça gösteriyor. Koi Security tarafından yapılan bir araştırma, Visual Studio Code (VS Code) uzantıları aracılığıyla yayılan kendi kendine çoğalan bir solucan saldırısını ortaya çıkardı. Bu saldırı, Open VSX Kaydı ve Microsoft Uzantı Pazarı’nda bulunan uzantılarda tespit edildi. Saldırı, ana tedarik zinciri saldırısı olarak tanımlanıyor ve son bir ay içerisinde DevOps alanında gerçekleşen ikinci benzer olay olarak kaydediliyor.
Saldırının Detayları
Saldırının, “GlassWorm” kod adıyla anıldığı ve özellikle Solana blockchain’inin komut ve kontrol (C2) olarak kullanılmasının dikkat çektiği belirtildi. Bu durum, saldırganların sistemin etkisiz hale getirilmesine karşı daha dirençli olmasını sağlıyor. Araştırmacılar, saldırının Google Takvim’i de bir yedek mekanizma olarak kullandığını vurguluyor. Ancak belki de en ilginç özellik, saldırının “görünmez Unicode karakterleri” kullanarak kötü niyetli kodun kod editörlerinden tamamen kaybolmasını sağlaması. Bu sayede, saldırganlar geliştirme ortamında zararlı kodu gizlemekte oldukça başarılı oluyor.
Saldırının Amacı
GlassWorm saldırısının nihai hedefleri oldukça geniş bir yelpazeye yayılıyor. Saldırganlar, npm, Open VSX, GitHub ve Git kimlik bilgilerini çalmanın yanı sıra toplamda 49 farklı kripto para cüzdan uzantısından fonları boşaltmayı hedefliyorlar. Bunun yanı sıra, geliştirici makinelerini suç faaliyetleri için araç haline getiren SOCKS proxy sunucuları kurma, uzaktan erişim için gizli VNC (HVNC) sunucuları yükleme ve çalınan kimlik bilgilerini kullanarak daha fazla paket ve uzantıyı ele geçirme gibi planları da bulunuyor.
Etkilenen Uzantılar
Saldırı sonucunda 13 uzantı Open VSX’te, biri ise Microsoft Uzantı Pazarı’nda tespit edildi. Bu uzantılar, toplamda yaklaşık 35,800 kez indirildi. Bu uzantılardan bazıları şunlardır:
- codejoy.codejoy-vscode-extension (1.8.3 ve 1.8.4)
- l-igh-t.vscode-theme-seti-folder (1.2.3)
- kleinesfilmroellchen.serenity-dsl-syntaxhighlight (0.3.2)
- JScearcy.rust-doc-viewer (4.2.1)
İlk enfeksiyonların 17 Ekim 2025 tarihinde gerçekleştiği ve bu uzantıların nasıl ele geçirildiği henüz bilinmiyor.
Kötü Amaçlı Kodun Çalışma Prensibi
Kötü amaçlı kod, uzantılar içerisinde gizlenerek, saldırganlar tarafından kontrol edilen Solana blockchain üzerindeki cüzdan işlemlerini arıyor. Eğer bu işlemler tespit edilirse, memo alanından Base64 ile kodlanmış bir dizi kelime çıkarıyor ve bunu C2 sunucusuyla irtibat kurmak için kullanıyor. İkinci aşama payload’u, kimlik bilgilerini, doğrulama token’larını ve kripto para cüzdan verilerini çalan bir bilgi hırsızı olarak görev yapıyor.
Saldırıların Genişlemesi
Sonuç olarak, siber saldırıların giderek daha karmaşık hale geldiği ve yazılım geliştirme ekosisteminde etkisini artırdığı görülüyor. Koi Security’den Idan Dardikman’ın da belirttiği gibi, “Bu, sadece tek seferlik bir tedarik zinciri saldırısı değil. Geliştirici ekosisteminde hızla yayılan bir solucan tasarlandı.” Saldırganların, tedarik zinciri yazılımlarını kendi kendine sürdürebilen bir hale getirmeyi başardıkları, bununla birlikte bireysel paketleri tehdit etmekle kalmayıp, tüm yazılım geliştirme ekosistemine yayılabilen solucanlar oluşturmaya yöneldikleri ifade ediliyor.
Blockchain ve Saldırı Stratejileri
Blockchain teknolojisinin kötü amaçlı payload’lar için kullanılmasının artması, siber suçluların bu tür tekniklere yönelmesine yol açıyor. Bu da pek çok suçlu grubu için yeni fırsatlar yaratıyor. Kuzey Kore’den gelen tehdit aktörlerinin bile bu tekniği, casusluk ve finansal motivasyonlu kampanyalar yürütmek için kullandığı biliniyor.
Bu gelişmeler, yazılım geliştirme dünyasının ne denli tehlikeli bir hale geldiğini gösteriyor. Geliştiricilerin bu tür tehditlere karşı daha dikkatli olması, güvenlik önlemlerini artırması ve sürekli olarak sistemlerini güncel tutmaları büyük bir önem taşıyor.
