Vibe-Coded Zararlı VS Code Eklentisi: Tehlikeler ve Önlemler
Güvenlik araştırmacıları, Visual Studio Code (VS Code) için tasarlanmış zararlı bir eklenti keşfetti. Bu eklenti, ransomware (fidye yazılımı) özelliklerine sahip ve “vibe-coded” olarak tanımlanıyor; yani yapay zeka tarafından oluşturulmuş bir yapıya sahip.
Eklentinin Detayları
“susvsex” adıyla sunulan bu eklenti, 5 Kasım 2025 tarihinde kullanıcı “suspublisher18” tarafından yüklenmiş. Açıklama kısmında “Sadece testi yapıyorum” ifadesi yer alıyor. Eklenti, kullanıcıların bilgisayarındaki belirli dizinleri otomatik olarak sıkıştırıyor, yüklüyor ve şifreliyor. Microsoft, bu eklentiyi 6 Kasım itibarıyla resmi eklenti pazarından kaldırdı.
Eklenti, ilk açılışta otomatik olarak etkinleşiyor ve “zipUploadAndEncrypt” adlı bir fonksiyonu çağırıyor. Bu fonksiyon, belirli bir klasörü ZIP arşivine dönüştürüyor ve daha sonra uzaktan bir sunucuya aktarıyor. Tuckner, bu dizinin test amaçlı olduğunu belirtiyor; yani şu anda büyük bir zarar verme potansiyeli taşımıyor. Ancak, bu dizinin daha sonra güncellenmesi mümkün.
Komut ve Kontrol Mekanizması
Zararlı eklenti, GitHub’ı komut ve kontrol (C2) merkezi olarak kullanıyor. Özel bir GitHub deposundan yeni komutlar alarak bu komutları yürütüyor. Kullanıcıdan alınan geri bildirim, aynı deponun “requirements.txt” dosyasına yazılıyor. Bu, eklentinin ne kadar sofistike bir yapıya sahip olduğunu gösteriyor.
Geliştirici, Azerbaycan’ın Bakü şehrinden olduğunu iddia eden bir kullanıcı. Eklentideki bazı hatalı yorumlar ve kodlar, zararlı yazılımın “vibe-coded” olduğunu gösteriyor. Eklenti paketi, deşifre araçları ve diğer zararlı kodları da içeriyor.
Diğer Tehditler: Trojanize NPM Paketleri
Datadog Güvenlik Laboratuvarları, özellikle npm paketleri üzerinden yayılan başka bir tehdidi de gün yüzüne çıkardı. 17 farklı npm paketi, görünüşte benign yazılım geliştirme araçları olarak kendini gösteriyor ancak gerçekte Vidar bilgi hırsızını gizlice çalıştırıyor. Bunlar arasında “abeya-tg-api”, “cursor-ai-fork” gibi paketler bulunuyor.
Bu paketler, “package.json” dosyasında belirtilen bir postinstall betiği aracılığıyla çalışıyor. İlk olarak, dış bir sunucudan ZIP arşivini indirip içindeki Vidar yürütülebilir dosyasını çalıştırıyor. Farklı teknikler kullanarak bu tür paketlerin tespitini zorlaştırmak, kötü niyetli yazılımların hayatta kalmasını sağlıyor.
Sonuç
Bu keşif, açık kaynak ekosistemine yönelik tedarik zinciri saldırılarının artışının bir parçası. Geliştiricilerin, yükledikleri paketlerin değişiklik günlüklerini dikkatle incelemeleri ve teknik hatalara karşı dikkatli olmaları gerekiyor. “Typosquatting” ve “dependency confusion” gibi saldırılara karşı tetikte olmak, uygulama güvenliği için kritik öneme sahip.
Zararlı yazılımlar her geçen gün daha gelişmiş hale geliyor. Yazılım geliştiricileri ve kullanıcılar, güvenlik tedbirlerini güçlendirerek bu tehditlere karşı koymak için üzerine düşeni yapmalıdır. Eğitim, dikkat ve güncel bilgilerin takip edilmesi, bu tür tehditlerle başa çıkmada en etkili yöntemlerdir.
