Giriş
GlassWorm adlı yeni bir kötü amaçlı yazılım, OpenVSX uzantıları aracılığıyla macOS sistemlerine sızarak kullanıcıların parolalarını, kripto cüzdan verilerini ve geliştirici kimlik bilgilerini çalmayı hedefliyor. Bu tür bir saldırı, siber güvenlik alanında büyük tehditler oluşturabileceğinden, kullanıcıların dikkatini artırmak önemlidir.
Saldırı Nasıl Çalışıyor?
GlassWorm saldırısı, geçerli bir geliştirici olan oorzc‘nin hesabının ele geçirilmesiyle başlayarak, zararlı güncellemeler içeren dört uzantıyı (toplamda 22,000 kez indirilmiş) hedef almıştır. Saldırı, görünmez Unicode karakterleri kullanarak kötü amaçlı kodu gizleyebilmekte ve kullanıcıların kripto cüzdanı ile geliştirici hesap detaylarını çalmaktadır. Ayrıca, VNC tabanlı uzaktan erişim ve SOCKS proxy desteği sunmaktadır.
Etkilenen Sistemler
GlassWorm saldırıları, hem Microsoft’un resmi Visual Studio Code pazaryerine hem de desteklenmeyen IDE’ler için açık kaynaklı bir alternatif olan OpenVSX’e malzeme sağlamaktadır. Önceki kampanyalarda, macOS sistemlerini hedef alan bu kötü amaçlı yazılım, tespit edilen uzantılar üzerinde yakından çalışarak oorzc.ssh-tools v0.5.1, oorzc.i18n-tools-plus v1.6.8, oorzc.mind-map v1.0.61 ve oorzc.scss-to-css-compile v1.3.4 versiyonlarının kötü amaçlı güncellemeleri ile kullanıcıları etkilemiştir.
Veri Çalma Mekanizması
GlassWorm, macOS bilgi çalan bir yazılımdır ve enfekte olmuş sistemlerde kalıcılık sağlamak için bir LaunchAgent kullanarak oturum açıldığında çalışmaya başlar. Kötü amaçlı yazılım, aşağıdaki verileri toplar ve saldırganın altyapısına aktarır:
- Firefox ve Chromium tarayıcı verileri
- Kripto cüzdan uzantıları ve uygulamaları
- macOS anahtar zinciri verileri
- Apple Notes veritabanları
- Safari çerezleri
- Geliştirici sırları ve yerel dosya sistemindeki belgeler
Çözüm ve Korunma
Socket güvenlik ekibi, Eclipse Foundation’a kötü amaçlı paketleri bildirmiştir ve OpenVSX platformu üzerindeki yetkisiz yayın erişimlerini iptal etmek için adım atmıştır. Tüm kötü amaçlı sürümler kaldırılmıştır, ancak oorzc.ssh-tools tamamen silinmiştir. Şu anda piyasada temiz sürümler mevcut, ancak daha önce kötü amaçlı güncellemeleri indirilen geliştiricilerin aşağıdaki adımları izlemeleri önemlidir:
- Tüm sistem temizliğini yapın.
- Tüm gizli anahtar ve parolalarınızı yenileyin.
Aksiyon
Eğer bu uzantıları kullanıyorsanız, derhal güncellemelerinizi kontrol edin ve kötü amaçlı yazılım tespitinde bulunmadığınızdan emin olun. Ayrıca, olası bir saldırıya karşı portların kapatılması ve sistem güvenliğinin artırılması önerilmektedir. Kullanıcıların dikkatli olmaları, siber tehditlerden korunmak için hayati öneme sahiptir.
