OpenVSX pazarı aracılığıyla Visual Studio Code uzantılarını kullanan geliştiricileri hedef alan GlassWorm adlı yeni bir kötü amaçlı yazılım kampanyası ortaya çıkarıldı. Koi Security tarafından tespit edilen tehdit, güvenilir uzantıları ele geçirerek ve çalınan kimlik bilgilerini kullanarak diğerlerine bulaşarak geliştirici ortamlarına otomatik olarak yayılıyor.
Bu solucan, son kullanıcı yazılımlarında değil, günlük geliştirme araçlarının içinde saklanıyor. Uygulamalara doğrudan saldırmak yerine geliştiricilerin bağımlı olduğu uzantıları ele geçirerek çalışır.
Kötü amaçlı yazılım etkinleştiğinde NPM, GitHub ve Git’in kimlik bilgilerini çalıyor, 49 farklı kripto para birimi cüzdanındaki fonları çekiyor ve erişimi ve kontrolü sürdürmek için gizli VNC ve SOCKS proxy’lerini dağıtıyor.
Araştırmacılar, GlassWorm’un, zararlı kodu insan incelemeciler ve hatta birçok otomatik güvenlik tarayıcısı için neredeyse görünmez hale getiren, görünmez Unicode varyasyon seçicileri kullanarak kötü amaçlı yükünü gizlediğini buldu. Bu hile, kötü amaçlı yazılımın şüphe yaratmadan düzenli kod incelemelerinden geçmesini sağlar ve saldırganlara onu diğer uzantılara yaymaları için daha fazla zaman tanır.
Komuta ve kontrol operasyonları da oldukça sıra dışı. GlassWorm, standart bir uzak sunucu kullanmak yerine Solana blok zinciri aracılığıyla iletişim kurar, bu da takip edilmesini veya kapatılmasını zorlaştırır. Solana çalışmayı durdurursa saldırganlar Google Takvim’i alternatif bir komut kanalı olarak kullanabilir ve bu da kontrolü ellerinde tutmaları için başka bir yol sağlar.
Koi Security, 35.800’den fazla kurulumun etkilendiğini ve bu hafta itibarıyla OpenVSX pazarında en az on güvenliği ihlal edilmiş uzantının aktif kaldığını bildirdi. Ekipler virüslü tüm bileşenleri tespit edip kaldırmak için çalışırken soruşturma devam ediyor.
RegScale Bilgi Güvenliği Baş Sorumlusu Dale Hoak, olayın açık kaynak ekosistemindeki daha derin uyumluluk sorunlarını ortaya çıkardığını söyledi. “Yazılım tedarik zinciri saldırıları artık yalnızca son ürünü hedef almıyor; geliştiricilerin en çok güvendiği araçları ve bağımlılıkları kullanıyor” diye açıkladı. Hoak, yetkisiz değişiklikleri gerçek zamanlı olarak tespit etmek için kuruluşların yapı hatları boyunca sürekli izleme ve otomasyona doğru ilerlemeleri gerektiğini vurguladı.
Uyumluluğun tek seferlik bir onay kutusu uygulaması olarak ele alınamayacağını ekledi. Hoak, “Yazılım tedarik zinciri bütünlüğünü yöneten kontroller, standart uygulama olarak sürekli doğrulama ve kaynak takibi ile CI/CD boru hatlarına yerleştirilmelidir” dedi. “GlassWorm gibi tehditler ortaya çıktığında ekiplerin halihazırda uyumluluğun devam ettiğine ve anında yanıt verebildiğine dair kanıtları olması gerekir.”
GlassWorm’un OpenVSX aracılığıyla yayılması, geliştiricilerin saldırganlar için ana hedef haline geldiğini gösteriyor. Bu nedenle, her uzantıyı doğrulamalı, bağımlılıkları düzenli olarak denetlemeli ve olağandışı ağ veya kimlik bilgisi etkinliklerini izlemelidirler.