Giriş
Son dönemde, Checkmarx KICS analiz aracının Docker görüntüleri ile VSCode ve Open VSX eklentilerinin siber suçlular tarafından ele geçirilmesi, geliştirici ortamlarından hassas verilerin elde edilmesine olanak tanımıştır. Bu durum, yazılım güvenliği açısından büyük bir tehdit oluşturmakta ve kullanıcıların sistemlerini yeniden gözden geçirmelerini gerektirmektedir.
Saldırı Nasıl Çalışıyor?
Söz konusu saldırıda, KICS (Keeping Infrastructure as Code Secure) aracı, geliştiricilerin kaynak kodu, bağımlılıklar ve yapılandırma dosyalarındaki güvenlik açıklarını belirlemelerine yardımcı olan açık kaynaklı bir tarayıcıdır. Ancak, ele geçirilmesi sonrası sistemden veri çalan bir ‘MCP addon’ özelliği yüklenmektedir. Araştırmacılar, saldırı sonrası sistemin nasıl etkilendiğini detaylandırmıştır:
- KICS Docker görüntüsü , kötü amaçlı bir öge ile değiştirilmiştir.
- VS Code ve Open VSX eklentilerinde de güvenliği tehdit eden bileşenler bulunmaktadır.
- Saldırı, mcpAddon.js adındaki çok katmanlı bir kimlik bilgisi çalma ve yayılma bileşeni içermektedir.
Etkilenen Sistemler
Araştırmalar, saldırının özellikle aşağıdaki verileri hedef aldığını ortaya koymuştur:
- GitHub tokenları
- AWS, Azure ve Google Cloud kimlik bilgileri
- npm tokenları
- SSH anahtarları
- Claude yapılandırmaları
- Çevresel değişkenler
Saldırganlar, toplanan bu verileri şifreleyerek audit.checkmarx[.]cx alan adını kullanarak dışarıya aktarım yapmışlardır. Bunun yanı sıra, otomatik olarak oluşturulan halka açık GitHub depoları ile veri sızıntısının daha da artması sağlanmıştır.
Çözüm ve Korunma
Kötü niyetli içeriklerin etkilerini azaltmak amacıyla kullanıcıların şu önlemleri alması gerekmektedir:
- Docker etiketlerinin geçici olarak kötü niyetli bir dizi ile değiştirildiği bilinmektedir. Etkilenen etiketlerin kullanıldığı tarih aralığı 2026-04-22 14:17:59 UTC ile 2026-04-22 15:41:31 UTC arasında olmuştur.
- Şu anda etkilenen etiketler orijinal görüntü dişlerine geri dönmüştür.
- Geliştiriciler, yukarıda belirtilen araçları indirmişse, kimlik bilgilerini değiştirmeli ve güvenli bir başlangıç noktasından sistemlerini yeniden inşa etmelidir.
Checkmarx, olayı araştırdığını ve kullanıcılarına tüm kötü niyetli içeriklerin kaldırıldığını, ifşa edilen kimlik bilgilerin revize edildiğini bildirmiştir. Kullanıcıların dikkat etmesi gereken hususlar:
- checkmarx.cx = 91[.]195[.]240[.]123 ve audit.checkmarx.cx = 94[.]154[.]172[.]43 adreslerine erişimi engelleyin.
- Kilitlenmiş SHA’lar kullanarak, bilinen güvenli versiyonlara geri dönün.
- Şifreleri ve kimlik bilgilerini değiştirin.
Etkilenen projelerin son güvenli versiyonları şunlardır: DockerHub KICS v2.1.20, Checkmarx ast-github-action v2.3.36, Checkmarx VS Code eklentileri v2.64.0, ve Checkmarx Developer Assist eklentisi v1.18.0.
Sonuç
Geliştiriciler bu olaydan etkilendiyse, güvenlik açıklarını kapatmak adına derhal gerekli güncellemeleri yapmalı, portları kapatmalı ve sistemlerini gözden geçirmelidir. Bunların yanı sıra, herhangi bir şüpheli durum tespit edildiğinde, alınacak önlemleri hızlandırarak sistemin güvenliğini sağlamak kritik önem taşımaktadır.
