Giriş
Geliştiriciler için ciddi bir tehdit oluşturan GlassWorm kampanyası, zararlı yazılımlarla donatılmış çok aşamalı bir çerçeve geliştirerek kapsamlı veri hırsızlığı gerçekleştiriyor. Bu yeni tehdit, Google Chrome için bilgi hırsızlığı yapan bir uzantı aracılığıyla sistemlere sızma yeteneğine sahip.
Saldırı Nasıl Çalışıyor?
GlassWorm, başlangıç noktası olarak npm, PyPI, GitHub ve Open VSX pazar yerlerinde yayımlanan kötü amaçlı paketleri kullanıyor. Saldırganlar, proje yöneticilerinin hesaplarını ele geçirerek zehirli güncellemeler yayımlamakta. Bu saldırılar, Rusya lokasyonuna sahip sistemleri hedef almaktan kaçınıyor ve Solana tabanlı işlemleri kullanılacak Komut ve Kontrol sunucusunun (C2) URL’sini almak için bir ölü alan olarak kullanıyor.
Etkilenen Sistemler
GlassWorm’un yaptığı saldırılar, özellikle aşağıdaki sistemleri hedef alıyor:
- Windows ve macOS platformları
- Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, ve Mozilla Firefox web tarayıcıları
Çözüm ve Korunma
Geliştiricilerin, Open VSX uzantıları, npm paketleri ve MCP sunucularını yüklerken dikkatli olmaları önerilir. Aşağıdaki adımlar alınmalıdır:
- Yayıncı adlarını ve paket geçmişlerini doğrulayın.
- İndirilen paketlerin sayısına göz ardı etmeyin.
- glassworm-hunter adında, kampanyayla ilişkili yükleri taramak için açık kaynaklı bir Python aracı kullanın.
Bu araç, ağ istekleri yapmadan yerel dosyaları okuyarak sisteminizi korumanıza yardımcı olur.
Aksiyon
Tüm kullanıcıların sistemlerini güncellemeleri ve şüpheli uzantıları kaldırmaları kritik öneme sahiptir. Özellikle donanım cüzdanlarını korumak için her zaman dikkatli olunmalıdır. Eğer bu tür bir zararlı yazılıma maruz kalırsanız, hemen bir güvenlik uzmanına başvurun ve gerekli hariç tutma adımlarını izleyin.
