## VSCode Marketplace’de Gizli Tehditler
Son dönemde, VSCode Marketplace’de 19 adet uzantının, geliştiricileri hedef alan gizli bir kampanyayla aktif olduğu ortaya çıktı. Şubat ayından beri devam eden bu tehdit, bağımlılık dosyaları içinde gizlenen malware içeren uzantılarla ilişkilendiriliyor.
### Tehdit Analizi ve Bulunan Yöntemler
Güvenlik araştırmacıları, bu gizli faaliyetleri keşfetti ve operatörlerin sahte bir .PNG dosyası gibi görünen kötü niyetli bir dosya kullandığını belirledi. Microsoft’un VSCode için resmi uzantı portalı olan VSCode Marketplace, popülerliği nedeniyle sürekli olarak tehdit aktörleri tarafından hedef alınıyor.
ReversingLabs, kötü niyetli uzantıların ‘node_modules’ isimli bir klasörle birlikte paketlendiğini ve bu sayede VSCode’un bağımlılıkları npm kayıt defterinden yüklemesine engel olduğuna dikkat çekti. Bu klasör içinde, saldırganın ‘path-is-absolute’ ya da ‘@actions/io’ gibi değiştirilmiş bağımlılıklar eklediği bulundu.
### Kötü Amaçlı Kod ve Tespit Edilen Dosyalar
Bundled klasörde, eklenen yeni bir sınıf ile ‘index.js’ dosyasının otomatik olarak çalıştığı görüldü. Burada bulunan kod, ‘lock’ adlı bir dosya içinde obfuscate (karmaşıklaştırılmış) bir JavaScript dropper’ı decode ediyor. Ayrıca, bağımlılık klasöründe bir .PNG dosyası olarak görünen bir arşiv bulunuyor. Bu dosya ‘banner.png’ ismini taşıyor ve iki kötü amaçlı ikili dosya barındırıyor: ‘cmstp.exe’ adı verilen bir living-off-the-land binary (LoLBin) ve bir Rust tabanlı trojan.
ReversingLabs şu an bu trojan’ın tam yeteneklerini analiz etmeye devam ediyor. Araştırmalara göre, kampanyada kullanılan 19 VSCode uzantısı aşağıdaki isimlerle yayınlanmış ve hepsi 1.0.0 sürüm numarasına sahip:
– Malkolm Theme
– PandaExpress Theme
– Prada 555 Theme
– Priskinski Theme
### Kullanıcılar için Öneriler
ReversingLabs, bu uzantıları Microsoft’a bildirmiş ve BleepingComputer, tüm uzantıların kaldırıldığını doğrulamıştır. Ancak, uzantıları daha önce yüklemiş olan kullanıcıların sistemlerini, herhangi bir tehdide karşı taramaları öneriliyor.
Kamuya açık yazılım geliştirme depolarında tehdit aktörlerinin yeni yollar bulduğu göz önüne alındığında, kullanıcıların paketleri yüklemeden önce dikkatlice incelemeleri önemli. Kaynağın güvenilir bir yayıncı olmaması durumunda özellikle bağımlılıkları dikkatle gözden geçirmek gerekiyor. Bu tür riskleri azaltmak için kullanıcıların, VSCode uzantıları gibi paketlerin içindeki bağımlılıkların güvenilir bir kaynaktan yüklenip yüklenmediğine dikkat etmeleri şart.
Sonuç olarak, yazılım geliştirme dünyası her zaman çeşitli güvenlik tehditleri ile karşı karşıya kalmaktadır. Bu durum, yalnızca dikkatli olmayı değil, aynı zamanda güncel bilgi ve yöntemlerle kendimizi korumayı da gerektirmektedir.
