Sofistike bir siber suç operasyonu, imleç AI entegre geliştirme ortamını hedefleyen kötü niyetli bir uzatma yoluyla bir Rus blockchain geliştiricisinden kripto para birimi varlıklarında 500.000 $ ‘lık başarıyla çaldı.
Haziran 2025’te meydana gelen saldırı, tedarik zinciri saldırılarında AI destekli kalkınma araçlarının artan popülaritesinden yararlanan bir evrimi temsil ediyor.
Olay, yakın zamanda yeni bir işletim sistemi kuran güvenlik bilincine sahip bir geliştirici olan kurban, imleç AI IDE içinde uzantıyı vurgulayan bir sağlam sözdizimi aradığında başladı.
Çevrimiçi kötü amaçlı yazılım algılama hizmetlerini kullanmasına ve katı güvenlik uygulamalarının sürdürülmesine rağmen, geliştirici yanlışlıkla meşru bir geliştirme aracı olarak görünen kötü niyetli bir paket kurdu.
“Solidity Dili” adı altında yayınlanan sahte uzantı, tespit edilmeden ve kaldırılmadan önce 54.000 indirme biriktirmişti.
Bu saldırıyı özellikle sinsi yapan şey, kötü niyetli uzantıyı meşru alternatiflerin üzerine konumlandırmak için arama sıralama algoritmalarından yararlanmasıdır.
.webp)
Saldırganlar, açık VSX Kayıt Defteri’nin güncellemelerin yeniliği, indirme sayıları ve derecelendirmeleri de dahil olmak üzere faktörleri dikkate alan alaka düzeyine dayalı sıralama sisteminden yararlandı.
Kötü niyetli uzantılarını 15 Haziran 2025 tarihli yakın tarihli bir güncelleme tarihiyle yayınlayarak, meşru uzantının 30 Mayıs 2025 güncellemesine kıyasla, siber suçlular, otantik uzantı sekizinci sırada yer alırken paketlerini arama sonuçlarında dördüncü görünecek şekilde başarıyla değiştirdiler.
Securelist analistler, mağdurun tehlikeye atılan sisteminin adli analizini yaptıktan sonra kötü amaçlı yazılımları tanımladılar.
Araştırma, kötü niyetli uzantının, çok aşamalı bir saldırı zinciri için bir damlaçiye hizmet verdiği, gerçek bir sözdizimi vurgulama işlevselliği içermediğini ortaya koydu.
Enfeksiyon zinciri
Kötü amaçlı yazılımların enfeksiyon mekanizması hem sosyal mühendislik hem de teknik kaçırma teknikleri hakkında sofistike bir anlayış göstermektedir.
%20and%20legitimate%20(green)%20extensions%20(Source%20-%20Securelist).webp)
Kurulum üzerine, kötü amaçlı uzantısı.js dosyası, %userprofile%\.cursor\extensions\solidityai.solidity-1.0.9-universal\src\extension.jskomut ve kontrol sunucusu ile hemen temas başlattı angelic[.]su.
İlk PowerShell betiği https://angelic[.]su/files/1.txt Kurbanın makinesinde Screenconnect uzaktan yönetim yazılımının varlığını kontrol etti.
ScreAnconnect algılanmadıysa, kötü amaçlı yazılım ikincil bir komut dosyası indirdi https://angelic[.]su/files/2.txtbu da screenconnect yükleyicisini şuradan aldı https://lmfao[.]su/Bin/ScreenConnect.ClientSetup.msi.
Bu meşru uzaktan erişim aracı, saldırganların altyapısı ile iletişim kuracak şekilde yapılandırılmıştır. relay.lmfao[.]sutehlikeye atılan sisteme kalıcı erişim sağlar.
Meşru idari araçların kullanılması, gelişmiş kalıcı tehdit aktörleri tarafından kötü niyetli etkinliği normal sistem işlemleriyle harmanlamak için kullanılan ortak bir taktiği temsil eder.
Saldırı altyapısı, bu tek olayın ötesine uzanan iyi organize edilmiş bir operasyonu ortaya koyuyor.
Araştırmacılar, NPM deposunda “Solsafe” ve üç ek Visual Studio kodu uzantısı dahil olmak üzere ilgili kötü amaçlı paketleri keşfettiler: hepsi aynı enfeksiyon metodolojileri kullanan ve aynı komuta ve kontrol altyapısı ile iletişim kuran SOLAIBOT ve Blankebesxstnion.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi