Yeni GlassWorm Malware Dalgası: Mac’leri Hedef Alıyor
Son zamanlarda, “GlassWorm” adlı malware dalgasının dördüncü aşaması, macOS geliştiricilerini hedef alıyor. Bu kampanya altında, kötü amaçlı VSCode/OpenVSX uzantıları aracılığıyla trojanize edilmiş kripto cüzdan uygulamaları dağıtılıyor. Geliştiriciler için üretkenliği artıran uzantılar, genellikle Visual Studio Code ile uyumlu editörlerde kullanılmaktadır.
Uzantıların Rolü ve Tehditler
OpenVSX kaydı ve Microsoft Visual Studio Marketplace, VS Code uyumlu editörler için özellikleri ve geliştirme araçlarını genişletmek amacıyla kullanılan uzantılardır. Microsoft’un marketplace’i resmi uzantı mağazası iken, OpenVSX bağımsız bir alternatif olarak öne çıkıyor. Ancak, GlassWorm bu platformlarda gizlenerek kullanıcıları tehdit etmektedir.
Geçtiğimiz Ekim ayında ortaya çıkan GlassWorm, başta “görünmez” Unicode karakterleri kullanarak uzantılar içinde saklanmıştı. Yüklenmesinin ardından sistemdeki GitHub, npm ve OpenVSX hesaplarına dair kimlik bilgilerini çalmayı hedefliyordu. Ayrıca, uzaktan erişim sağlayan VNC ve SOX proxy işlevselliği barındırmaktaydı. Kamuoyuna açıklanmasına rağmen, bu malware, Aralık ayında tekrar ortaya çıktı.
Yenilikçi Yöntemler
Koi Security araştırmacılarının tespitlerine göre, yeni GlassWorm kampanyası yalnızca macOS sistemlerini hedef alıyor. Çözüm yerine, AES-256-CBC şifreleme ile korunmuş yüklemeler içeren JavaScript kodları kullanılmakta. Son saldırılarda, “studio-velte-distributor.pro-svelte-extension,” “cudra-production.vsce-prettier-pro” ve “Puccin-development.full-access-catppuccin-pro-extension” gibi uzantılar yer almaktadır.
Kötü niyetli kod, 15 dakikalık bir gecikmeden sonra çalışmaya başlıyor ki bu da analiz süreçlerinden kaçmak amacıyla yapılmış bir hareket. Artık AppleScript yoğun kullanımda ve sistemde kalıcı hale gelmek için LaunchAgents kullanılıyor. Bununla birlikte, Solana tabanlı komut kontrol (C2) mekanizması değişmedi.
Yeni Hedefler: Kripto Cüzdanlar
GlassWorm, 50’den fazla tarayıcı kripto uzantısını, geliştirici kimlik bilgilerini ve tarayıcı verilerini hedef almanın yanı sıra, artık Mac’lerdeki Keychain parolalarını çalmayı da denemektedir. Ayrıca, donanım kripto cüzdan uygulamalarını (Ledger Live ve Trezor Suite gibi) kontrol edip, bunları trojanize edilmiş versiyonlarıyla değiştirmeye çalışmaktadır.
Kaynak: Koi Security
Ancak Koi Security, bu mekanizmanın henüz başarısız olduğunu, çünkü trojanize edilmiş cüzdanların boş dosyalar dönmekte olduğunu tespit etmiştir. Bu durum, saldırganın hala macOS için cüzdan trojenlerini hazırlıyor olabileceğini veya altyapının geçiş aşamasında olduğunu göstermektedir.
Geliştiricilere Tavsiyeler
BleepingComputer, kötü niyetli uzantıların OpenVSX’de hala mevcut olup olmadığını kontrol ettiğinde, iki uzantı için onaylanmamış bir yayımlayıcı uyarısı gösterildiğini ortaya çıkardı. 33,000’den fazla indirme sayısı, saldırganların dosyaları daha güvenilir kılmak için sıkça manipüle ettiğini göstermekte.
Bu uzantılardan herhangi birini yükleyen geliştiricilerin, derhal bunları kaldırmaları, GitHub hesap parolalarını sıfırlamaları ve NPM token’larını iptal etmeleri önerilmektedir. Ayrıca, sistemlerinde herhangi bir enfeksiyon belirtisi aramaları da önemlidir.
