Geliştiriciler için Yeni Tehditler: Kötü Niyetli VS Code Uzantıları
Son dönemde siber güvenlik araştırmacıları, Microsoft Visual Studio Code (VS Code) Marketplace üzerinde geliştiricilerin makinelerini kötü amaçlı yazılımlarla enfekte etme amacı güden iki yeni uzantı keşfettiler. Bu uzantılar, popüler bir karanlık tema ve yapay zeka destekli bir kodlama asistanı olarak görünse de, arka planda veri hırsızlığı yapmak üzere gizli işlevler içermektedir.
Kötü Niyetli Uzantıların İşleyişi
Uzantılar, ek payloadları indirme, ekran görüntüsü alma ve kullanıcı verilerini toplama gibi çeşitli yeteneklere sahip. Toplanan bilgiler ise, saldırganın kontrolündeki bir sunucuya gönderilmektedir. Koi Security’den Idan Dardikman, “Kodunuz, e-postalarınız, Slack mesajlarınız… Ekranınızda ne varsa, onlar da bunu görebiliyor,” dedi. Bu durum, sadece kod bilgilerini değil, aynı zamanda Wi-Fi şifrelerini, panodaki verileri ve tarayıcı oturumlarını da ele geçirmektedir.
Tehdit Altındaki Uzantılar
Söz konusu uzantıların isimleri şunlardır:
- BigBlack.bitcoin-black (16 kurulum) – Microsoft tarafından 5 Aralık 2025’te kaldırıldı.
- BigBlack.codo-ai (25 kurulum) – Microsoft tarafından 8 Aralık 2025’te kaldırıldı.
Microsoft’un Marketplace’ten kaldırdığı uzantılar listesinde, aynı yayımcı tarafından geliştirilen üçüncü bir paket olan “BigBlack.mrbigblacktheme” de yer almakta ve bu paket de kötü amaçlı yazılımlar içermektedir.
Hedeflerin Yeniden Görünümü: Kötü Amaçlı Yazılım Ekosistemi
Socket isimli siber güvenlik araştırma şirketi, Go, npm ve Rust ekosistemlerinde de hassas verileri toplayabilen kötü niyetli paketler tespit etti. Örneğin:
- Go paketleri “github[.]com/bpoorman/uuid” ve “github[.]com/bpoorman/uid”, kullanıcıların uygulama içerisinde “valid” adlı bir yardımcı fonksiyonu çağırması durumunda verileri hırsızlamak amacıyla tasarlanmıştır.
- Fransızca konuşan bir tehdit aktörü tarafından yayınlanan yaklaşık 420 adet npm paketi, bazıları geri shell çalıştırarak dosyaları harici bir sunucuya göndermektedir.
- “finch-rust” adındaki Rust crate’i, meşru bir biyoinformatik aracı taklit ederek meşru işlemlere gizlice kötü niyetli bir yük yüklemektedir.
Kötü Amaçlı Uzantıların Tespit Zorluğu
Bu uzantılar, kullanıcıların dikkatini çekmeden çalışmayı başaran zararlılar olarak ön plana çıkıyor. Özellikle “Codo AI” isimli uzantı, işlevlerini çalışan bir araç içine gömerek tespit edilmesini güçlendiriyor. İlk versiyonları, kullanıcıyı uyaracak şekilde görünen bir PowerShell penceresi açıyordu, ancak sonradan geliştirilen sürümler bu pencereyi gizleyebilme yeteneğine sahip.
Sonuç ve Öneriler
Sonuç olarak, geliştiricilerin dikkatsizliği nedeniyle zararlı yazılımların saldırılarına maruz kalma riski her zamankinden daha yüksek. Geliştiricilerin, uzantıları yüklerken daha dikkatli olmaları ve kaynaklarını doğrulamaları son derece önemlidir. Kötü niyetli uzantılar ve paketlerden korunmak için, yalnızca güvenilir geliştiriciler tarafından sunulan ve iyi yorumlar almış yazılımlar tercih edilmelidir.
Geliştiricilerin bu tür tehditlerle başa çıkabilmesi için güncel bilgi edinmeleri ve güvenlik önlemlerini sürekli gözden geçirmeleri gerekiyor. Siber güvenlik tehditlerinin sürekli evrildiği günümüzde, dikkatli olmak her zamankinden daha kritik bir hale gelmiştir.
