Glassworm Malware’in Üçüncü Dalgası
Son zamanlarda yazılım geliştiricilerin sıkça kullandığı Visual Studio Code platformunda dikkat çeken bir güvenlik tehdidi ortaya çıktı. Glassworm kampanyası, ilk olarak Ekim ayında OpenVSX ve Microsoft Visual Studio Marketplace’te tespit edildi ve şimdi üçüncü dalgasıyla karşımıza çıkıyor. Bu yeni dalgada toplam 24 yeni kötü amaçlı paket eklendi.
Nedir Bu Glassworm?
Glassworm, Koi Security tarafından 20 Ekim’de ilk kez belgelenmiş bir malware’dir. Bu kötü amaçlı yazılım, kodunu incelemelere karşı gizlemek için “görünmez Unicode karakterleri” kullanıyor. Geliştiriciler, bu paketi kendi sistemlerine yüklediklerinde, GitHub, npm ve OpenVSX hesaplarını çalmaya çalışıyor. Ayrıca, 49 farklı uzantıdan kripto para cüzdanı verilerini hedef alıyor. En tehlikeli özelliği ise, kurbanların makineleri üzerinden kötü niyetli trafiği yönlendirmek için bir SOCKS proxy kurması ve operatörlere gizli uzaktan erişim sağlamak için HVNC istemcisini yüklemesidir.
Kötü Amaçlı Paketler Nasıl Yayılıyor?
Başlangıçta bu kötü amaçlı yazılım, uzantı havuzlarından temizlendi. Ancak, kısa bir süre sonra, yeni uzantılar ve yayıcı hesaplarla tekrar geri döndü. Open VSX, olayı tamamen kontrol altına aldığını belirtmişti, ancak Glassworm’ın yeniden ortaya çıkması endişe verici. Araştırmacılar, paketin adlarının popüler araçlar ve geliştirme çerçevelerini kapsadığını buldu. Bunlar arasında Flutter, Vim, Yaml, Tailwind, Svelte, React Native ve Vue gibi önemli projeler yer almakta.
Yeni Kötü Amaçlı Paketler
Geliştiricilerin dikkat etmesi gereken pek çok yeni paket var. Aşağıda, üçüncü dalgada tespit edilen bazı kötü amaçlı paketler listelenmiştir:
VS Marketplace:
- iconkieftwo.icon-theme-materiall
- prisma-inc.prisma-studio-assistance
- prettier-vsc.vsce-prettier
- flutcode.flutter-extension
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.kluster-code-verify
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extension
- solblanco.svetle-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-native-vsce
Open VSX:
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-for-react
- flutcode.flutter-extension
- yamlcode.yaml-vscode-extension
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.solidity
Nasıl Korunabiliriz?
Geliştiricilerin bu tür kötü niyetli yazılımlardan korunmak için dikkat etmesi gereken birkaç önemli nokta var. Öncelikle, yüklenen paketlerin kaynağını mutlaka kontrol etmek gerekir. Ayrıca, uzantıların indirilme sayılarına dikkat edilebilir; gerçek ve güvenilir projelerin indirilme sayıları genellikle daha yüksektir. Arama sonuçlarındaki yanıltıcı paket isimlerine ve benzerlerine karşı tetikte olunmalıdır.
Geliştiricilerin unutmaması gereken bir diğer önemli konu, kullanmadıkları paketleri sistemlerinden kaldırmak ve güncel güvenlik yazılımlarını kullanmaktır. Tarayıcı uzantıları da dahil olmak üzere, güvenliklerini artırmak için mevcut tüm yazılımlarını güncellemeleri önerilir.
Sonuç
Glassworm ile ilgili tehditler hala devam ederken, yazılım geliştiricilerin dikkatli olması ve bu tür saldırılara karşı proaktif tedbirler alması büyük önem taşıyor. Microsoft ve OpenVSX, bu tür tehditleri nasıl engelleyebileceklerine dair bir yanıt almak üzere sesi yükseltilmiştir. Umarız, bu konuda daha etkili çözümler ortaya konacaktır.
