Giriş
Siber güvenlikte henüz unutulmamış bir tehdit olan GlassWorm, yazılım geliştiricilerini hedef alarak yazılım tedarik zinciri saldırılarını artırıyor. Bu saldırılar, tehdit aktörlerinin tek bir ihlal ile binlerce kullanıcıyı etkilemesine olanak tanıyor.
Saldırı Nasıl Çalışıyor?
CrowdStrike, Google ve Shadowserver Vakfı ile iş birliği içinde, GlassWorm adı verilen kalıcı yazılım zinciri kampanyasına yönelik tüm komut ve kontrol (C2) kanallarının eş zamanlı olarak kesildiğini açıkladı. GlassWorm, en azından 2025’in başından beri yazılım geliştiricilerini hedef alıyor.
- Saldırılar, trojanize edilmiş VS Code uzantıları aracılığıyla gerçekleştiriliyor.
- Ayrıca, npm ve Python paketleri üzerinden de kötü amaçlı kodlar entegre ediliyor.
- Saldırının amacı, kimlik bilgisi toplama, kripto cüzdanlarının ele geçirilmesi ve sistem profilleme yetenekleri içeren bir veri hırsızlığı çerçevesi sunmaktır.
Etkilenen Sistemler
GlassWorm kampanyası, Websocket tabanlı bir JavaScript RAT olan GlassWormRAT‘i kurarak tarayıcı verilerini çalıp rasgele kod çalıştırabiliyor. Bu, geliştirici kimlik bilgilerini (GitHub, NPM, OpenVSX jetonları, kripto cüzdanları) bulması için kötü amaçlı yazılımı aktif hale getiriyor.
Çözüm ve Korunma
GlassWorm’ün kötü amaçlı aktivitelerinin topluca 300’den fazla GitHub deposunu etkilediği biliniyor. Saldırganların kullandığı C2 kanalları, dört ayrı katmanla korunarak direnç seviyesinin artırıldığı rapor edilmiştir.
- Bütün tehdit aktörleri için bu tür sistemlerin korunması hayati önem taşımaktadır.
- Geliştirici ortamları, inşa boru hatları ve kod havuzları sürekli olarak izlenmeli ve güvence altına alınmalıdır.
Sonuç
Yazılım tedarik zinciri, modern bilgisayarlardaki en etkili saldırı yüzeylerinden biridir. Bu nedenle, tüm geliştirici ortamlarınızı düzenli olarak güncellemeli ve güvenlik önlemlerinizi güçlendirmelisiniz. Güncellemeler yapmayı, zararlı paketleri ve uzantıları kapatmayı ihmal etmeyin.
