WhiteCobra’nın Tehdit Kampanyası
Son günlerde, WhiteCobra adlı bir siber tehdit aktörü, VSCode, Cursor ve Windsurf kullanıcılarını hedef alarak Visual Studio pazarında ve Open VSX kayıt defterinde 24 adet kötü amaçlı uzantı yayınladı. Bu kampanya, etkileyici bir hızla devam etmekte ve tehdit aktörü, kaldırılan uzantıların yerine sürekli yeni kötü amaçlı kodlar yüklemektedir.
Bu kampanyanın etkisini gösteren en çarpıcı örneklerden biri, kripto para geliştiricisi Zak Cole‘ün başına gelenlerdir. Cole, Cursor kod editörü için görünüşte meşru bir uzantı (contractshark.solidity-lang) kullandıktan sonra cüzdanının boşaltıldığını bildirdi. Cole, uzantının profesyonelce tasarlanmış bir simgesi, detaylı açıklaması ve OpenVSX üzerinde 54.000 indirme sayısının bulunduğu tüm özellikleriyle masum bir ürün izlenimi verdiğini belirtti.
Tehdit Aktörlerinin Stratejileri
WhiteCobra grubunun arkasında, Temmuz ayında Cursor editörü için sahte bir uzantı aracılığıyla gerçekleştirilen 500.000 dolarlık kripto para çalınması da bulunmaktadır. Araştırmacılar, Koi Güvenliği tarafından yapılan analizlerde WhiteCobra’nın kötü amaçlı VSIX uzantıları yaratmak için dikkatlice hazırlanmış açıklamalar ve abartılı indirme sayıları kullandığını belirtiyor.
Koi Güvenliği, WhiteCobra’nın son kampanyasında şu uzantıların bulunduğunu tespit etti:
- ChainDevTools.solidity
- kilocode-ai.kilo-code
- nomic-fdn.hardhat-solidity
- oxc-vscode.oxc
- juan-blanco.solidity
- kineticsquid.solidity-ethereum-vsc
- ETHFoundry.solidityethereum
- JuanFBlanco.solidity-ai-ethereum
- Ethereum.solidity-ethereum
Bu uzantılar, hem Open-VSX hem de VS Code Marketplace üzerinde kullanıcıları kandırmak için tasarlanmıştır. Bu platformların VSIX uzantılarını desteklemesi ve düzgün bir gönderi gözden geçirme mekanizmasının bulunmaması, saldırganlar için geniş bir erişim sağlamakta, tehlikeli aktivitelerin artmasına zemin hazırlamaktadır.
Kötü Amaçlı Kodların İşleyişi
Wallet’ların boşaltılması süreci, uzantının ana dosyasının (extension.js) çalıştırılmasıyla başlar. Araştırmacılar, bu dosyanın “Hello World” şablonuna çok benzediğini belirtmektedir. Ancak, bu dosyanın içinde, başka bir ikinci betiğe (prompt.js) geçiş yapan basit bir çağrı bulunmaktadır. Daha sonra, platforma özel bir yük, Cloudflare Pages üzerinden indirilmektedir.
Windows kullanıcıları için bir PowerShell betiği, bir Python betiği çalıştırarak LummaStealer kötü amaçlı yazılımını etkinleştirir. LummaStealer, kripto para cüzdan uygulamalarını, web uzantılarını, web tarayıcılarında saklanan kimlik bilgilerini ve mesajlaşma uygulama verilerini hedef alan bir bilgi çalıcı zararlıdır. MacOS kullanıcıları için, yükleme yerel olarak çalıştırılan bir kötü amaçlı Mach-O ikili dosyadır.
Örgütlü Suç ve Hedefler
İçeriği sızdırılan WhiteCobra‘nın iç rehberine göre, siber suçlular arasında belirlenmiş gelir hedefleri 10,000 ile 500,000 dolar arasında değişmektedir. Bunun yanı sıra, komut ve kontrol (C2) altyapısı kurulum rehberleri sunmakta ve sosyal mühendislik ile pazarlama stratejileri bahsedilmektedir.
Koi Güvenliği, WhiteCobra grubunun organizasyonlu bir yapıda faaliyet gösterdiğini ve maruz kaldıkları ifşalardan ya da kaldırmalardan etkilenmediklerini belirtiyor. Araştırmacılar, bu grubun yeni bir kampanya başlatma süresinin üç saatten az olduğunu vurgulamaktadır.
Güvenlik Önlemleri
Kötü amaçlı uzantıları belirlemek için daha iyi doğrulama mekanizmalarına ihtiyaç olduğu belirtilmektedir. Kullanıcılar, uzantıları indirirken sahtecilik ve benzer isimlerin kontrol edilmesi gerektiği konusunda uyarılmaktadır. Genellikle, yeni projelerin kısa sürede çok sayıda indirme ve olumlu yorum toplaması şüpheli bir durum yaratmaktadır. Uzantıların güvenilir kaynaklardan edinilmesi, kullanıcıların veri güvenliğini sağlamak için alması gereken önlemler arasında yer almalıdır.
Sonuç olarak, WhiteCobra gibi grupların tehditleri her geçen gün artarken, yazılımcıların ve kullanıcıların daha dikkatli olması gerekmektedir. Cyber saldırılara karşı dikkatli olmak ve bilinçli seçimler yapmak, bilgi güvenliği açısından büyük önem taşımaktadır.


