Kritik Uyarı: 1.5 Milyon İndirilen Tehlikeli VS Code Eklentileri!

Tehditin Özeti

Siber güvenlik araştırmacıları, Microsoft Visual Studio Code (VS Code) için kötü amaçlı iki uzantı tespit etti. Bu uzantılar, geliştirici verilerini Çin merkezli sunuculara sızdıran gizli işlevsellik içeriyor ve toplamda 1.5 milyon kez indirildi.

Kötü Amaçlı Uzantılar

Kesin olarak tespit edilen uzantılar şunlardır:

• ChatGPT – 中文版 (ID: whensunset.chatgpt-china) – 1,340,869 indirme
• ChatGPT – ChatMoss（CodeMoss） (ID: zhukunpeng.chat-moss) – 151,751 indirme

Koi Security, bu uzantıların beklendiği gibi çalıştığını ancak açılan her dosyayı ve yapılan her kaynak kodu değişikliğini Çin’deki sunuculara kaydettiğini açıkladı. Bu kampanyanın adı MaliciousCorgi olarak belirlendi.

Saldırı Nasıl Çalışıyor?

Her iki uzantı da, kullanıcıların şüphelerini azaltmak için tam olarak vaat edilen işlevleri yerine getiriyor. Kötü amaçlı kod, açık olan her dosyanın içeriğini okuyor, Base64 formatında kodluyor ve aihao123[.]cn adresine gönderiyor. Bu süreç, her düzenleme için tetikleniyor.

Buna ek olarak, uzantılar uzaktan tetiklenebilen gerçek zamanlı izleme özellikleri de içeriyor. Bu özellik, çalışma alanındaki 50’ye kadar dosyanın dışa aktarılmasına neden olmaktadır. Ayrıca, uzantının web görünümünde dört ticari analitik yazılım geliştirme kiti (SDK) yüklemek için gizli bir sıfır piksel iframe bulunmaktadır.

• Zhuge.io
• GrowingIO
• TalkingData
• Baidu Analytics

Etkilenen Sistemler

Bu durum, yazılım arzı güvenliğini tehdit eden önemli bir konudur. Koi, JavaScript paket yöneticileri olan npm, pnpm, vlt ve Bun için PackageGate olarak adlandırılan altı sıfır gün açığı tespit etti. Bu açıklar, otomatik yaşam döngüsü betiklerinin yürütülmesini atlatmak için kullanılabilir.

Çözüm ve Korunma

Paket yöneticileri içinde tespit edilen açıklar, aşağıdaki versiyonlar ile kapatılmıştır:

• pnpm: versiyon 10.26.0
• vlt: versiyon 1.0.0-rc.10
• Bun: versiyon 1.3.5

Pnpm bu iki açığı CVE-2025-69264 (CVSS puanı: 8.8) ve CVE-2025-69263 (CVSS puanı: 7.5) olarak izlemektedir. Bununla birlikte, npm açıkları düzeltmeyi reddettiğini belirtmiştir.

Aksiyon Planı

Kullanıcılar, bu kötü amaçlı uzantılardan kaçınmak ve sistemlerini korumak için aşağıdaki önlemleri almalıdır:

• Tüm yazılımlarını güncelleyerek en son versiyonları kullanın.
• Kötü amaçlı uzantıları hemen kaldırın.
• Genel olarak güvenilir kaynaklardan yazılım yüklemeyi tercih edin.
• Güvenlik duvarı ve antivirüs yazılımı kullanarak ek koruma sağlayın.

Ayrıca, paket yöneticileri ile çalışırken yaşam döngüsü betiklerini devre dışı bırakmayı ve kilit dosyalarını (@package-lock.json) taahhüt etmeyi unutmayın.