GlassWorm: Geliştirici Araçları Hedef Alan Yeniden Yükselişi
Son zamanlarda, GlassWorm isimli kötü amaçlı yazılım kampanyası, Microsoft Visual Studio Marketplace ve Open VSX’te 24 kötü niyetli uzantıyla tekrar gündeme geldi. Bu uzantılar, Flutter, React, Tailwind, Vim ve Vue gibi popüler geliştirme araçlarını taklit ederek geliştiricileri hedef almakta.
Ekosistem Tehdidi
GlassWorm ilk olarak Ekim 2025’te kaydedildiği için, bu saldırı zincirinin, Solana blockchain’ini komut ve kontrol (C2) için kullandığı ve npm, Open VSX, GitHub gibi platformlardan kimlik bilgilerini çaldığı anlaşılmaktadır. Ayrıca, saldırganlar, birçok cüzdandan kripto para varlıklarını boşaltıp, geliştirici makineleri başka suç faaliyeti için saldırganların kontrolüne sokmakta.
Kampanyanın en kritik yönü, çalınan kimlik bilgilerinin kullanılarak daha fazla paket ve uzantının ele geçirilmesiyle, zararlı yazılımın hızlı bir şekilde yayılmasıdır. Microsoft ve Open VSX sürekli çabalarına rağmen, kötü amaçlı yazılım geçen ay tekrar ortaya çıktı ve saldırganlar GitHub deposuna saldırılar gerçekleştirdi.
Yeni Dalga: 24 Kötü Amaçlı Uzantı
Güvenlik uzmanı John Tuckner tarafından tespit edilen GlassWorm kampanyasının, hem Microsoft Visual Studio hem de Open VSX platformlarında toplam 24 uzantı içerdiği bildirildi. İşte bu uzantıların listesi:
VS Code Marketplace:
- iconkieftwo.icon-theme-materiall
- prisma-inc.prisma-studio-assistance (1 Aralık 2025 itibarıyla kaldırılmıştır)
- prettier-vsc.vsce-prettier
- flutcode.flutter-extension
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.kluster-code-verify
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extension
- solblanco.svetle-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-native-vsce
Open VSX:
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-for-react
- flutcode.flutter-extension
- yamlcode.yaml-vscode-extension
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.solidity
Saldırganların, indirme sayısını yapay olarak artırarak bu uzantıları güvenilir gösterme çabası içinde oldukları da belirlenmiştir. Böylece, bu uzantılar arama sonuçlarında gerçek projelerin yakınında görünerek geliştiricileri kandırmakta.
Saldırı Yöntemleri: Kayıtlı Kodun Güncellenmesi
Uzantı baştan onaylandıktan sonra saldırgan, zararlı sürümle kodu güncelleyerek filtreleri kolayca atlatmaktadır. Tuckner, “Birçok kod uzantısı, ‘aktif’ bir bağlamla başlar ve zararlı kod, etkinleştirme gerçekleştiğinde hemen araya sokulur,” demektedir.
Rust Tabanlı İmplantlar ve Yeni Teknikler
Yeni iterasyon, görünmez Unicode numarası gibi eski tekniklere dayanmakla birlikte, uzantılar içinde paketlenmiş Rust tabanlı implantlar kullanmaktadır. “icon-theme-materiall” uzantısının analizi, Windows ve macOS sistemlerine hedeflenen iki Rust implantı içerdiğini göstermiştir:
- Windows için os.node adlı DLL
- macOS için darwin.node adlı dinamik kütüphane
Sonuç: Tehditin Ciddiyeti
Geliştiricilerin bu uzantılara kanması durumunda, sıkıntılı bir duruma düşebilecekleri aşikar. “Nadir olarak, bir saldırgan bir hafta içinde iki popüler pazarda 20’den fazla kötü amaçlı uzantı yayınlar,” diyen Tuckner, geliştiricilerin bu uzantılara karşı dikkatli olması gerektiğini vurgulamaktadır.
Kötü niyetli yazılımlarla karşılaşma olasılığı yüksek bu dönemde, güvenilir uzantıların kullanımına dikkat edilmesi büyük önem taşımaktadır.
