Giriş
Siber güvenlik uzmanları, geliştiricilerin bilgisayarlarını hedef alan GlassWorm kampanyasının dönüşümüne dair yeni bir tehdidi ortaya çıkardı. Bu saldırı, geliştiricilerin entegre geliştirme ortamlarını (IDE) gizlice enfekte etme amacı taşıyan yeni bir Zig dropper kullanıyor.
Saldırı Nasıl Çalışıyor?
Tehdit, specstudio.code-wakatime-activity-tracker adlı Open VSX uzantısında tespit edildi. Bu uzantı, programcıların IDE içindeki zamanını ölçmek üzere popüler bir araç olan WakaTime’ın taklidi olarak tasarlanmıştır. Uzantının artık indirilebilir durumda olmadığı belirtildi.
Aikido Security araştırmacısı Ilyas Makari, “Uzantı […] Zig ile derlenmiş bir yerel ikiliyi JavaScript kodu ile birlikte gönderiyor,” demektedir. GlassWorm ayrıca daha önce kullanılan yerel derlenmiş kodları tekrar kullanarak, ikiliyi doğrudan payload olarak değil, gizli bir yönlendirme olarak kullanıyor; böylece sistemdeki tüm IDE’leri enfekte edebiliyor.
Yeni tespit edilen Microsoft Visual Studio Code (VS Code) uzantısı, WakaTime’ın neredeyse birebir kopyasıdır, ancak “activate()” adlı bir işlevde yapılan bir değişiklik bulunmaktadır. Bu uzantı, Windows sistemlerinde “win.node” ve Apple macOS üzerinde evrensel bir Mach-O ikilisi olan “mac.node” adlı bir ikili yükler.
Bu Node.js yerel eklentileri, Zig ile yazılmış paylaşılan kütüphaneler olup, doğrudan Node’un çalışma zamanına yüklenir ve tam işletim sistemi seviyesinde erişime sahip olarak JavaScript kumandasının dışındadır.
Etkilenen Sistemler
Yüklenme sonrasında, ikilinin temel hedefi sistemdeki tüm IDE’leri bulmaktır. Bu, Microsoft VS Code ve VS Code Insiders ile birlikte VSCodium, Positron gibi çatalları ve Cursor ile Windsurf gibi bir dizi yapay zeka destekli kodlama aracını da içermektedir.
İkili, bir saldırgan kontrolündeki GitHub hesabından kötü amaçlı bir VS Code uzantısı indirmektedir. Uzantı, resmi Visual Studio Marketplace’de 5 milyondan fazla kurulum sayısına sahip steoates.autoimport adlı meşru uzantıyı taklit eden “floktokbok.autoimport” olarak adlandırılmaktadır.
Çözüm ve Korunma
Son adımda, indirilen .VSIX dosyası geçici bir yolu yazarak her IDE’ye gizlice kurulur. İkinci aşama VS Code uzantısı, Rus sistemlerinde çalışmadığını belirterek komut ve kontrol (C2) sunucusunu almak için Solana blockchain ile iletişim kurar, hassas verileri dışa aktarır ve bilgiler çalmak için bir Google Chrome uzantısı dağıtan bir uzaktan erişim trojanı (RAT) kurar.
- Kullanıcıların “specstudio.code-wakatime-activity-tracker” veya “floktokbok.autoimport” uzantılarını yüklediklerinde, sistemlerinin tehlikeye girdiğini varsayıp tüm şifrelerini değiştirmeleri önerilir.
- Geliştiricilerin, tüm IDE’lerini taramaları ve şüpheli uzantıları kaldırmaları gerekmektedir.
Aksiyon
Okuyucular, güncellemeleri düzenli aralıklarla kontrol etmeli ve herhangi bir kötü amaçlı uzantı yüklememeye dikkat etmelidir. Geliştirme ortamlarını korumak için ek önlemler alınmalı, port kapatmalar uygulanmalı ve daha geniş bir güvenlik değerlendirmesi gerçekleştirilmelidir.
