Siber güvenlik araştırmacıları, GlassWorm kampanyasıyla ilişkili üç uzantıdan oluşan yeni bir seti açıkladı; bu, tehdit aktörlerinin Visual Studio Code (VS Code) ekosistemini hedeflemeye yönelik girişimlerinin devam ettiğini gösteriyor.
Halen indirilebilen söz konusu uzantılar aşağıda listelenmiştir:
İlk olarak geçen ayın sonlarında Koi Security tarafından belgelenen GlassWorm, tehdit aktörlerinin Open VSX Kayıt Defteri ve Microsoft Extension Marketplace’teki VS Code uzantılarından faydalanarak Open VSX, GitHub ve Git kimlik bilgilerini topladığı, 49 farklı kripto para birimi cüzdan uzantısındaki fonları tükettiği ve uzaktan erişim için ek araçlar bıraktığı bir kampanyayı ifade ediyor.
Kötü amaçlı yazılımı dikkate değer kılan şey, kod düzenleyicilerdeki kötü amaçlı kodları gizlemek için görünmez Unicode karakterleri kullanması ve çalınan kimlik bilgilerini kötüye kullanarak ek uzantıları tehlikeye atması ve erişimini daha da genişletmesi, böylece solucan benzeri bir şekilde yayılmasına olanak tanıyan etkili bir kendi kendini kopyalama döngüsü oluşturmasıdır.
Bulgulara yanıt olarak Open VSX, 21 Ekim 2025 itibarıyla ilgili belirteçleri döndürmenin veya iptal etmenin yanı sıra tüm kötü amaçlı uzantıları tanımladığını ve kaldırdığını söyledi. Ancak Koi Security’nin son raporu, tespitini atlamak için aynı görünmez Unicode karakter gizleme hilesini kullanarak tehdidin ikinci kez yeniden ortaya çıktığını gösteriyor.
“Saldırgan, Solana blok zincirine güncellenmiş bir C2 sağlayan yeni bir işlem gönderdi [command-and-control] güvenlik araştırmacıları Idan Dardikman, Yuval Ronen ve Lotan Sery, “bir sonraki aşamadaki yükün indirilmesi için uç nokta” dedi.
“Bu, blockchain tabanlı C2 altyapısının dayanıklılığını gösteriyor; yük sunucuları kapatılsa bile, saldırgan bir kuruştan küçük bir ücret karşılığında yeni bir işlem yayınlayabilir ve virüs bulaşmış tüm makineler otomatik olarak yeni konumu getirir.”
Güvenlik sağlayıcısı ayrıca saldırganın sunucusunda yanlışlıkla açığa çıktığı söylenen bir uç nokta tespit ettiğini ve ABD, Güney Amerika, Avrupa ve Asya’yı kapsayan kurbanların kısmi listesini ortaya çıkardığını da açıkladı. Buna Orta Doğu’dan büyük bir hükümet kuruluşu da dahildir.
Daha ileri analizler, saldırganın kendi makinesinden olduğu iddia edilen keylogger bilgilerini ortaya çıkardı ve bu, GlassWorm’un kökenine ilişkin bazı ipuçları verdi. Tehdit aktörünün Rusça konuştuğu değerlendiriliyor ve altyapılarının bir parçası olarak RedExt adlı açık kaynaklı tarayıcı uzantısı C2 çerçevesini kullandığı söyleniyor.
Koi Security, “Bunlar, kimlik bilgileri toplanmış, makineleri suç vekil altyapısı olarak hizmet veren, iç ağları zaten tehlikeye girmiş olabilecek gerçek kuruluşlar ve gerçek kişilerdir” dedi.
Gelişme, Aikido Security’nin GlassWorm’un odağını GitHub’u hedef alacak şekilde genişlettiğini gösteren bulguları yayınlamasından kısa bir süre sonra geldi; bu, çalınan GitHub kimlik bilgilerinin depolara kötü amaçlı taahhütler göndermek için kullanıldığını gösteriyor.