GlassWorm Malware Nedir?
Son zamanlarda siber güvenlik araştırmacıları, Visual Studio Code (VS Code) eko sistemine yönelik yeni bir tehdit olan GlassWorm’u gün yüzüne çıkardılar. Bu malware, Open VSX Registry ve Microsoft Extension Marketplace’teki uzantılar aracılığıyla hedef alınan kullanıcılardan çeşitli bilgiler çalmaya çalışıyor.
GlassWorm, ilk olarak Koi Security tarafından belgelendi ve özellikle üç yeni uzantı ile ilişkilendiriliyor. Bu uzantılar, hala indirilmek için mevcut ve milyonlarca kullanıcı tarafından kullanılmakta. Uzantının temel hedefleri arasında Open VSX, GitHub ve Git kimlik bilgilerini ele geçirmek, kripto para cüzdanlarından fon çekmek ve uzaktan erişim için ek araçlar yüklemek yer alıyor.
Tehditin Özellikleri
GlassWorm’un dikkat çekici bir özelliği, zararlı kodu gizlemek için görünmez Unicode karakterler kullanmasıdır. Bu durum, kod editörlerinde kötü amaçlı kodun tespit edilmesini zorlaştırıyor. Elde edilen kimlik bilgileriyle diğer uzantılar da tehlikeye atılabiliyor ve bu da malware’nin kendini kopyalamasına olanak tanıyor.
Ayrıca, Open VSX, bu zararlı uzantıları tespit ederek 21 Ekim 2025 itibarıyla kaldırdığını açıkladı. Ne var ki Koi Security’nin son raporu, tehditin yeniden ortaya çıktığını ve aynı gizleme tekniğini kullanarak tespit edilmekten kaçındığını gösteriyor.
Siber Saldırının Gelişimi
Güvenlik araştırmacıları, saldırganın Solana blockchain’ine yeni bir işlem gönderdiğini ve böylece yeni bir C2 (komut ve kontrol) noktasını güncellediğini tespit etti. Bu, blockchain tabanlı C2 yapısının dayanıklılığını gösteriyor; eğer payload sunucuları kapatılsa bile, saldırgan yeni bir işlem göndererek tüm enfekte makinelerin otomatik olarak yeni konumu almasını sağlıyor.
Ayrıca, saldırganın sunucusunda yanlışlıkla açığa çıkmış bir uç nokta bulunmuş ve bu, dünya genelindeki bazı kurumların ve bireylerin kimlik bilgilerinin çalındığını ortaya çıkarmıştır. Bu liste, Orta Doğu’dan büyük bir devlet kuruluşunu içermektedir.
Kimler Hedef Alınıyor?
Koi Security’nin açıkladığına göre, bu malware gerçek kurumları ve bireyleri hedef alıyor. Bu kullanıcıların kimlik bilgileri çalınmakta ve makineleri, suç örgütlerinin proxy altyapısı olarak görev yapması için kullanılmaktadır. Soygunun büyüklüğü, GlassWorm’un GitHub’a yönelerek kötü niyetli commit’ler gönderdiği bilindiğinde daha da belirginleşiyor.
Saldırgan grubun Rusça konuştuğu düşünülmekte ve kendi altyapısı içinde açık kaynaklı bir tarayıcı uzantısı C2 çerçevesi olan RedExt‘yi kullanıyor. Bu durum, grubun karmaşık ve çeşitli dolandırıcılık yöntemlerine yöneldiğini göstermektedir.
Sonuç ve Önlem Önerileri
GlassWorm saldırısı, siber güvenlik alanında büyük bir tehdit oluşturmaktadır. Kullanıcıların dikkatli olmaları ve yalnızca güvenilir kaynaklardan uzantıları indirmeleri kritik öneme sahiptir. Herhangi bir şüpheli uzantının tespit edilmesi durumunda, derhal kaldırılmalı ve hesap bilgileri yenilenmelidir.
Gelecekteki saldırılara karşı hazırlıklı olmak için, düzenli olarak güvenlik güncellemeleri yapılmalı ve güçlü parolalar kullanılmalıdır. Siber güvenlik bilincinin artırılması, bu tür tehditlerle başa çıkmanın en etkin yollarından biridir.
