Giriş
Geliştiricilerin en çok tercih ettiği entegre geliştirme ortamlarından (IDE) biri olan Visual Studio Code (VSCode), geniş bir uzantı yelpazesine sahiptir. Ancak, Microsoft’un VSCode Marketplace’inde yer alan bazı kötü amaçlı uzantılar, geliştiricilerin makinelerini tehdit eden yazılımlar ile enfekte edebilir. Son günlerde dikkat çeken iki uzantı, kullanıcıların bilgilerini çalan kötü amaçlı yazılımlar ile dolu olarak ortaya çıkmıştır.
Tehditler: Bitcoin Black ve Codo AI
Kötü niyetli uzantılar arasında yer alan Bitcoin Black ve Codo AI, sırasıyla bir renk teması ve bir yapay zeka asistanı olarak tanıtılmaktadır. İki uzantı da “BigBlack” geliştirici adı altında yayımlanmıştır. Yapılan analizlere göre, Codo AI uzantısının sadece 30’un altında indirilmeye sahip olduğu belirlenmiştir.
Source: BleepingComputer.com
Bitcoin Black’ın Teknik Yapısı
Koi Security’nin raporuna göre, Bitcoin Black uzantısı, VSCode’da gerçekleştirilen her eylemde aktive olan bir “*” etkinlik kodu bulunduruyor. Bu uzantı, PowerShell kodu çalıştırabiliyor ki bu, bir tema uzantısı için gereksiz ve dikkat çekici bir durumdur. Eski versiyonlarında, uzantı, bir PowerShell betiği kullanarak şifreli bir yük indirmektedir. Ancak daha güncel versiyonlar, işlemi gizli bir pencerede gerçekleştiren bir betik (bat.sh) kullanmaktadır.
Source: Koi Security
Codo AI ve Kötü Amaçlı Kod
Codo AI uzantısı, ChatGPT veya DeepSeek gibi kod asistanı işlevselliği sunduğu belirtilirken, aynı zamanda ardında kötü niyetli bir bölüm barındırmaktadır. Her iki uzantı da Lightshot ekran görüntüsü alma aracının meşru bir yürütülebilir dosyasını ve DLL dosyasını içeriyor. Bu DLL dosyası, DLL kaçırma tekniği kullanılarak yüklenmektedir ve “runtime.exe” adı altında infostealer’ı devreye sokmaktadır.
Veri Çalma ve Kullanıcı Oturumlarına Erişim
Kötü niyetli yazılım, ‘%APPDATA%Local’ dizininde bir “Evelyn” klasörü oluşturarak çalınan verileri depolar. Bu veriler arasında çalışmakta olan süreçler, panoya kopyalanan içerikler, WiFi kimlik bilgileri, sistem bilgileri, ekran görüntüleri ve yüklü programların listesi bulunmaktadır. Ayrıca, malware, Chrome ve Edge tarayıcılarını başsız modda başlatarak çerezleri çalmaktadır.
Özellikle kripto para cüzdanları da hedef alınmaktadır. Phantom, Metamask ve Exodus gibi cüzdanlar, kötü niyetli yazılımın radarında yer almaktadır. Tüm bu faaliyetler, geliştiricilerin güvenliğini tehdit eden ciddi bir sorun haline gelmiştir.
Kapatma
Microsoft’a uzantıların pazar yerindeki varlığıyla ilgili olarak ulaşılmış, ancak henüz bir yorum alınamamıştır. Geliştiriciler, sadece güvenilir yayıncılardan projeleri kurarak kötü niyetli VSCode uzantı riskini minimize edebilir. Bu tür tehditler, özellikle OpenVSX gibi platformlarda da hâkimiyet göstermektedir, bu nedenle dikkatli olmakta fayda vardır.
