Glassworm kötü amaçlı yazılım kampanyası, geçtiğimiz hafta Microsoft Visual Studio Marketplace ve OpenVSX’te 24 kötü amaçlı uzantı dağıtarak benzeri görülmemiş bir ölçekte yeniden ortaya çıktı.
Bu son saldırı dalgası, geliştirici araçlarını hedef alan tedarik zinciri ihlallerinin oluşturduğu kalıcı tehdidi gösteriyor.
Kötü amaçlı yazılım, özellikle Flutter, Tailwind, Vim, Yaml, Svelte, React Native ve Vue gibi popüler çerçeveler için meşru uzantıları kopyalayarak geliştiricilerin orijinal ve sahte paketler arasında ayrım yapmasını zorlaştırıyor.
Saldırı mekanizması, başlangıçta güvenlik incelemelerini geçen meşru görünen paketler yayınlayarak geliştiricilerin uzantı pazarlarına duyduğu güveni istismar ediyor.
.webp)
Onaylandıktan sonra uzantılar, gizli kötü amaçlı kod içeren güncellemeleri alarak saldırganların mevcut güvenlik filtrelerini atlamalarına olanak tanır.
Secure Annex güvenlik araştırmacıları, bu kötü amaçlı uzantıların, indirme sayılarını manipüle etmek ve kurulum istatistiklerini yapay olarak şişirmek için karmaşık teknikler kullandığını, sahte uzantıları IDE arayüzünde doğrudan meşru uzantıların yanına yerleştirdiğini belirledi.
Bu sosyal mühendislik taktiği, kullanıcıların kurulum sırasında doğru uzantıyı belirlemesini zorlaştırıyor.
Enfeksiyon Mekanizması ve Evrimi
Virüs bulaşma süreci, geliştiricilerin piyasadan meşru bir uzantı gibi görünen bir eklentiyi yüklemesiyle başlar.
Kötü amaçlı veri, uzantı geliştirme ortamına yüklendikten hemen sonra etkinleşir. Etkinleştirildiğinde kod, daha önce uzatma paketinde gizlenmiş olan gömülü implantları çalıştırır.
Saldırganlar, daha önceki versiyonlardaki görünmez Unicode karakterlerden doğrudan uzantıların içine yerleştirilmiş Rust tabanlı implantlara geçiş yaparak kaçırma taktiklerini önemli ölçüde geliştirdiler.
Uzantı etkinleştirildiğinde, kötü amaçlı kodu geliştiricinin sistem bağlamında çalıştırarak saldırganların ortam değişkenleri, kimlik doğrulama belirteçleri ve proje kaynak kodu gibi hassas bilgilere erişmesine olanak tanır.
.webp)
Gelişmiş gizleme teknikleri, özel güvenlik analiz araçları olmadan tespit edilmesini zorlaştırır. Secure Annex analistleri, kampanyalardaki tutarlı saldırı imzalarına ve modellerine dikkat çekerek, evrimlerine rağmen çeşitli teknikleri birbirine bağladı.
Araştırmacılar, birçok uzantının, son dağıtımdan önce güvenilirlik oluşturmak için indirme istatistiklerini değiştirirken işlemleri aşamalandırmaya devam ettiğini keşfetti.
Belirlenen güvenliği ihlal edilmiş paketler, her iki platformda da prisma-inc.prisma-studio-assistance, prettier-vsc.vsce-prettier ve flutter-extension gibi dikkate değer örneklerle her iki pazarı da kapsıyor.
Bu uzantıları kullanan kuruluşlar, yetkisiz sistem erişimi ve veri sızması nedeniyle önemli risklerle karşı karşıyadır.
Güvenlik uzmanları, gelecekteki güvenlik ihlallerini tespit etmek ve önlemek için yüklü uzantıların derhal denetlenmesini ve pazar tarama çözümlerinin uygulanmasını önerir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
