Giriş
Son zamanlarda, Open VSX Registry’yi hedef alan bir tedarik zinciri saldırısı gerçekleştirildi. Bu saldırı, tanınmış bir geliştiricinin kaynaklarının kötüye kullanılmasıyla, kullanıcılar arasında zararlı güncellemelerin dağıtılmasına yol açtı.
Saldırı Nasıl Çalışıyor?
30 Ocak 2026’da, oorzc yazarı tarafından yayınlanan dört geçerli Open VSX uzantısının, GlassWorm zaralı yazılım yükleyicisini içeren kötü amaçlı versiyonları yayınlandı. Bu uzantılar daha önce yasal geliştirici araçları olarak tanıtılmıştı ve toplamda 22.000’in üzerinde indirme almıştı. Tedarik zinciri güvenliği şirketi, bu saldırının, geliştiricinin yayınlama kimlik bilgilerinin ele geçirilmesiyle gerçekleştirildiğini bildirdi. Olayı inceleyen Open VSX güvenlik ekibi, yetkisiz erişim veya sızdırılan bir token kullanıldığını değerlendirdi. Kötü amaçlı versiyonlar Open VSX’ten kaldırıldı.
Etkilenen Sistemler
Kötü amaçlı yazılımın etki ettiği uzantılar şunlardır:
- FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — versiyon 0.5.1)
- I18n Tools (oorzc.i18n-tools-plus — versiyon 1.6.8)
- vscode mindmap (oorzc.mind-map — versiyon 1.0.61)
- scss to css (oorzc.scss-to-css-compile — versiyon 1.3.4)
Kötü amaçlı versiyonların, bilinen bir kampanya olan GlassWorm ile ilişkili bir yükleyici içerdiği belirtildi. Bu yükleyici, çalıştırıldığında gömülü verileri şifrelemek ve çalıştırmak için tasarlanmıştır. Ayrıca, EtherHiding adı verilen bir teknik kullanarak komut ve kontrol (C2) noktalarını alır ve Apple macOS kimlik bilgilerini ve kripto para cüzdan verilerini çalmayı hedefler.
Bilgi Toplama Metodları
Zararlı yazılımın topladığı bilgilerin arasında şunlar yer almaktadır:
- Mozilla Firefox ve Chromium tabanlı tarayıcılardan alınan veriler (giriş bilgileri, çerezler, internet geçmişi ve MetaMask gibi cüzdan uzantıları)
- Kripto para cüzdan dosyaları (Electrum, Exodus, Atomic, Ledger Live, Trezor Suite)
- iCloud Anahtar Zinciri veritabanı
- Safari çerezleri
- Apple Notlarındaki veriler
- Desktop, Documents ve Downloads klasörlerindeki kullanıcı belgeleri
- FortiClient VPN yapılandırma dosyaları
- Geliştirici kimlik bilgileri (örn. ~/.aws ve ~/.ssh)
Geliştirici bilgilerine yapılan bu yönelim, kurumsal ortamların bulut hesaplarının tehlikeye girmesi ve yan hareket saldırılarına maruz kalma riskini arttırmaktadır.
Çözüm ve Korunma
Saldırgan, meşru bir geliştiricinin hesabını kullanarak zararlı yazılımı yayımlamakta ve bununla zararsız geliştirici iş akışlarına entegre olmaktadır. Zararlı yazılım, her ne kadar öncelikle gelişmiş bir profil oluşturma süreci gerektirse de, hedefin Rus olmayan bir konumda olması durumunda devreye girmektedir.
Bu saldırıdan korunmak için aşağıdaki önlemleri almanız önemlidir:
- Etkinliklerinizi sürekli olarak izleyin ve şüpheli aktiviteleri takip edin.
- Açık kaynaklı uzantılarınızı ve yazılımlarınızı düzenli aralıklarla güncelleyin.
- Kullanılmayan ve gereksiz portları kapatın.
- Geliştirici kimlik bilgilerinizi güvenli bir şekilde yönetin ve paylaşmaktan kaçının.
- Malware koruma yazılımlarını ve güvenlik duvarlarını aktif tutun.
Sonuç olarak, yazılımlarınızı korumak adına güncellemeleri kontrollerden geçirirken, port kapatma ve güvenlik önlemleri almalısınız. Kötü yazılımlara karşı sürekli tetikte olmak, bu tür tehditlerin önüne geçmek için oldukça kritiktir.
