Son zamanlarda, yazılım geliştiricileri için önemli bir tehdit haline gelen GlassWorm zararlısı, OpenVSX ve Visual Studio Code pazarlarına dönüş yaptı. Yeni bir kampanya ile üç yeni VSCode uzantısı, kısa sürede 10,000’den fazla indirme aldı. Bu durum, yazılım toplulukları için alarm zilleri çalmaya başladı.
GlassWorm Nedir?
GlassWorm, kötü niyetli bir yazılım kampanyası olup, Solana işlemlerini kullanarak, GitHub, NPM ve OpenVSX hesap kimlik bilgilerini ve kripto para cüzdan verilerini hedef alıyor. Şu ana kadar 49 uzantıdan veri toplamayı başardı. Kullanıcıların bilgisayarlarına sızmak için görünmez Unicode karakterlerini kullanmakta ve bu karakterler, JavaScript çalıştırarak kötü niyetli eylemler gerçekleştirmektedir.
Önceki bir kampanyada toplam 35,800 kez indirilmiş olan 12 uzantı ile ilk kez ortaya çıkan GlassWorm, kullanıcıların güvenliğini ciddi şekilde tehdit ediyor. Ancak, indirme sayıları tehdit aktörleri tarafından şişirilmiş olabilir. Open VSX, etkilenen hesapların erişim token’larını yenileyerek ve güvenlik önlemlerini artırarak durumu kontrol altına almaya çalıştı.
Yeni Dönem, Yeni Uzantılar
Koi Security, bu kampanyayı izlemeye devam ederek, GlassWorm’un mevcut altyapısını güncelleyerek tekrar OpenVSX’e döndüğünü duyurdu. Yeni uzantılar arasında:
- ai-driven-dev.ai-driven-dev — 3,400 indirme
- adhamu.history-in-sublime-merge — 4,000 indirme
- yasuyuky.transient-emacs — 2,400 indirme
Tüm bu uzantılar, görünmez Unicode karakterleri kullanarak kullanıcıları hedef almayı sürdürüyor. OpenVSX’ün yeni güvenlik önlemlerine rağmen, bu yöntemlerle savunma sistemleri aşılabiliyor.
Gizli Tehditin Geri Dönüşü
Önceki haberlerde, GlassWorm operatörlerinin geçen ayki maruz kalmaktan etkilenmediği ve GitHub’a kayarak yeni uzantılarla OpenVSX’e geri döndükleri bildirildi. Bu durum, çok platformlu operasyonlarını sürdürme niyetlerini ortaya koyuyor.
Saldırı Altyapısı ve Global Etki
Koi Security, bir ihbar sonucunda saldırganların sunucularına erişim sağladı ve kampanyadan etkilenen kurbanlarla ilgili önemli veriler elde etti. Elde edilen veriler, GlassWorm’un dünya genelinde; Amerika, Güney Amerika, Avrupa, Asya ve Orta Doğu’daki hükümet kurumları dahil olmak üzere birçok sistemde bulunduğunu ortaya koydu.
Operatörlerin Rusça konuştuğu ve RedExt açık kaynaklı C2 tarayıcı uzantı çerçevesini kullandığı da tespit edildi. Araştırmacılar, elde edilen tüm verileri yasal mercilere gönderdi ve etkilenen kuruluşları bilgilendirmek için bir plan oluşturuyor.
Koi Security, şu anda 60’tan fazla farklı kurbanın belirlendiğini, ancak sadece bir açık uçlu sunucudan kısmi bir liste edinebildiklerini bildirdi. Şu anda, GlassWorm yüklemesi taşıyan üç uzantı da OpenVSX’de indirilmeye devam ediyor.
Bu durum, yazılım geliştirme toplulukları için bir alarm zili niteliğinde. Geliştiricilerin, uzantıların güvenliği konusunda dikkatli olmaları ve potansiyel tehditlerden korunmak için güncel güvenlik önlemleri almaları önerilmektedir.
