Microsoft Visual Studio Code’daki Etkileyici Güvenlik Açığı
Siber güvenlik araştırmacıları, Microsoft’un popüler yazılım geliştirme aracında, Visual Studio Code (VS Code) için tasarlanmış bir uzantı olan Ethcode‘a yönelik bir tedarik zinciri saldırısını ortaya çıkardılar. Yaklaşık olarak 6,000 kez indirilen bu uzantı, 2025 yılına kadar saldırıya uğramadan önce güvenli bir şekilde kullanılıyordu. Saldırı, 17 Haziran 2025 tarihinde, kullanıcı adı Airez299 olan bir kişinin açtığı bir GitHub pull request ile gerçekleşti.
Ethcode’un Yaygın Kullanımı
2022 yılında 7finney tarafından piyasaya sürülen Ethcode uzantısı, Ethereum Sanal Makinesi (EVM) tabanlı blok zincirlerde solidity akıllı kontratları dağıtmak ve çalıştırmak için kullanılıyor. EVM, Ethereum ağı üzerinde akıllı kontratları çalıştırmak amacıyla tasarlanmış merkezi olmayan bir hesaplama motorudur. Kullanıcılar, Ethcode’u geliştirirken ve uygulamalarını oluştururken bu uzantının sağladığı özelliklerden yararlanmaktadır.
Saldırının Detayları ve Zararları
ReversingLabs’ın belirttiğine göre, GitHub projesinin son temiz güncellemesi, 6 Eylül 2024 tarihinde verilmişti. Ancak, Airez299 tarafından yapılan pull request ile birlikte, 43 commit içindeki yaklaşık 4,000 satır değişiklikle, uzantının tamamı tehlikeye atıldı. Bu saldırıda, keythereum-utils adlı bir npm bağımlılığı, projenin package.json dosyasına eklendi ve VS Code uzantısına yönelik TypeScript dosyasına aktarıldı.
Bu JavaScript kütüphanesi, npm kaynağından kaldırılmıştır ve obfuscate edilmiş yani gizlenmiş bir kod içeriyor. Bu gizli kod, bilinmeyen bir ikinci aşama yükünü indirmek için kullanılıyor. Sonuç olarak bu paket, 495 kez indirildi.
Önemli Bilgiler ve Güncel Durum
Keythereum-utils üzerinde birkaç kullanıcı, farklı versiyonlarıyla birlikte birkaç kez npm’ye yükleme yaptı. Ancak bu hesaplar artık mevcudiyetten kaldırılmıştır. Güvenlik araştırmacısı Petar Kirhmajer, bu kütüphanenin deşifre edilmesi sonucunda, gizli bir PowerShell oluşturduğunu ve kamuya açık dosya barındırma hizmetinden bir batch script indirip çalıştırdığını belirtmiştir.
Kötücül yükün içeriği tam olarak bilinmemekle birlikte, kullanıcılara ait kripto para varlıklarını çalma veya geliştirilen sözleşmeleri zehirleme yeteneğine sahip olduğu düşünülmektedir. Microsoft’a yapılan sorumlu açıklama sonrasında, Ethcode uzantısı, VS Code Uzantı Pazarından kaldırıldı. Kötücül bağımlılığın kaldırılmasının ardından uzantı tekrar reinstated (yeniden yayımlandı).
Tedarik Zinciri Saldırıları ve Risk Yükseklikleri
Ethcode vakası, daha geniş bir tedarik zinciri saldırı trendinin en son örneğini göstermektedir. Araştırmalara göre, 2025’in ikinci çeyreğinde 16,279 adet açık kaynaklı kötü amaçlı yazılım keşfedildi. Bu, yıllık bazda %188 gibi korkutucu bir artış göstermektedir.
Sonatype tarafından sağlanan verilere göre, bu kötü amaçlı ürünlerin çoğu, kullanıcıların kimlik bilgilerini ve API tokenlarını çalmaya yönelik hazırlanmıştı. Aralarında 400’den fazla örneği ile veri bozulmasını hedef alan kötü amaçlı yazılımların sıklığı da iki katına çıkmıştır.
Kötü Amaçlı Yazılımların Etkisi ve Kullanıcı Güvenliği
Ayrıca, Kuzey Kore ile bağlantılı Lazarus Grubu‘na atfedilen 107 kötü amaçlı paketin toplamda 30,000’den fazla kez indirildiği bilgisi de dikkat çekmektedir. Diğer bir yandan, Çin kaynaklı tehdit grubu Yeshen-Asia‘na bağlı 90’dan fazla npm paketi, sistem bilgilerini ve çalışan süreç listesini toplamak amacıyla kullanılmaktadır.
Hızla artan saldırılar, yazılım geliştirme süreçlerinin ne denli tehlikeye atıldığını açıkça ortaya koymaktadır. Açık kaynak ekosistemlerine duyulan güvenin kötüye kullanılması, tedarik zinciri ihlalleri oluşturmak için yaygın bir yöntem haline gelmiştir.
Tarayıcı Uzantıları ve Kullanıcı Güvenliği
Son olarak, Socket tarafından tespit edilen sahte oyun ile ilgili uzantılar, çeşitli seviyelerde kötü amaçlı işlevler içermektedir. Bu uzantılar arasında reklam yazılımlarından kimlik avı saldırılarına kadar birçok farklı tehlike bulunduğu gözlemlenmiştir.
Kush Pandya, “Tarayıcı uzantıları, güvenilir statüsü, geniş izinleri ve tarayıcı güvenlik bağlamında çalışma yetenekleri sayesinde sıkça saldırı noktası olarak kullanılmaktadır.” diyerek mevcut durumu özetlemektedir.
Sonuç olarak, yazılım geliştirme dünyasında güvenlik açıkları ve tedarik zinciri saldırıları giderek daha tehlikeli bir hal almaktadır. Geliştiricilerin bu tür tehditlere karşı dikkatli olmaları ve güvenlik önlemlerini almaları gerekmektedir.
