Yapay Zeka Destekli IDE’lerde Güvenlik Açıkları
Yapay zeka destekli popüler Microsoft Visual Studio Code (VS Code) çatalları, bazı kullanıcıları sahte uzantıları yüklemeye teşvik edecek şekilde tasarlanmış güvenlik açıkları barındırıyor. Bu durum, kötü niyetli aktörlerin zararlı paketler yayınlamasına olanak tanıyarak tedarik zinciri risklerini artırıyor.
Olayın Ayrıntıları
Koi’nin yaptığı araştırmaya göre, bu entegre geliştirme ortamları (IDE’ler) Microsoft’un uzantı pazarından önerilen uzantıların listesini miras alıyor. Ancak, bu uzantılar Open VSX kayıtlarında mevcut değil. Özellikle, VS Code uzantı önerileri iki farklı biçimde sunuluyor:
- Dosya tabanlı: Belirli formatlardaki dosyalar açıldığında gösterilen bildirimlerdir.
- Yazılım tabanlı: Belirli programlar halihazırda yüklü olduğunda öneriler sunar.
Koi güvenlik araştırmacısı Oren Yomtov’un belirttiği gibi, “Önerilen uzantılar Open VSX üzerinde mevcut değildi. Namespace’ler talep edilmemişti. Herhangi biri bunları kaydedip istedikleri şeyi yükleyebilirdi.”
Saldırı Nasıl Çalışıyor?
Bir saldırgan, bu VS Code uzantılarının eksikliğini ve yapay zeka destekli IDE’lerin VS Code çatalları olmasını kullanarak Open VSX kayıtlarına zararlı bir uzantı yükleyebilir, örneğin ms-ossdata.vscode-postgresql adıyla.
Bunun sonucunda, PostgreSQL yüklü bir geliştirici, bu IDE’lerden birini açtığında “Önerilen: PostgreSQL uzantısı” mesajını görebilir. Basit bir yükleme işlemi, sistemlerinde kötü niyetli uzantının kurulumuna neden olabilir.
Bu basit güvenme eylemi, hassas verilerin çalınmasına yol açabilir, bu da kimlik bilgilerinin, gizli anahtarların ve kaynak kodunun kaybına neden olabilir. Koi, bu placeholder PostgreSQL uzantısının en az 500 yükleme aldığını belirtiyor; bu durum, geliştiricilerin yalnızca IDE’nin önerisini nedeniyle bunu yüklediklerini gösteriyor.
Etkilenen Sistemler
Koi’nin belirlediği bazı uzantı isimleri ve bunların placeholder olarak kaydedildiği durum şu şekildedir:
- ms-ossdata.vscode-postgresql
- ms-azure-devops.azure-pipelines
- msazurermtools.azurerm-vscode-tools
- usqlextpublisher.usql-vscode-ext
- cake-build.cake-vscode
- pkosta2005.heroku-command
Çözüm ve Korunma
Cursor ve Google, sorumlu bir bildirim süreciyle bu problemi çözmek için düzeltmeler yayınladı. Ayrıca, Eclipse Foundation Open VSX’u denetleyerek, resmi olmayan katkı sağlayıcıları kaldırdı ve geniş çaplı kayıt düzeyinde güvenlik önlemleri uyguladı.
Geliştiricilerin uzantı pazarlarındaki ve açık kaynak havuzlarındaki güvenlik açıklarını artıran kötü niyetli aktörlerin sayısının artmasıyla birlikte, indirim paketi veya yükleme yetkisi vermeden önce dikkatli olmaları önemlidir. Güvenilir bir yayıncıdan geldiğinden emin olunması gerekmektedir.
Sonuç
Geliştiricilerin, IDE’lerde yer alan uzantı önerilerini dikkatle değerlendirmesi ve güncellemeleri hemen uygulamaları önemlidir. Ayrıca, şüpheli görünen uzantıları yüklemekten kaçınarak güvenliklerini artırmaları önerilir. Kontrolsüz yüklemeler yerine, yalnızca güvenilir kaynaklardan gelen uzantılar tercih edilmelidir.
