GlassWorm olarak bilinen tedarik zinciri kampanyası bir kez daha başını kaldırdı ve Flutter, React, Tailwind, Vim ve Vue gibi popüler geliştirici araçlarını ve çerçevelerini taklit eden 24 uzantıyla hem Microsoft Visual Studio Marketplace’e hem de Open VSX’e sızdı.
GlassWorm ilk olarak Ekim 2025’te belgelendi; komuta ve kontrol (C2) ve npm, Open VSX, GitHub ve Git kimlik bilgilerini toplamak, düzinelerce cüzdandan kripto para birimi varlıklarını boşaltmak ve geliştirici makinelerini diğer suç faaliyetleri için saldırganların kontrol ettiği düğümlere dönüştürmek için Solana blok zincirinin kullanımını ayrıntılarıyla anlattı.
Kampanyanın en önemli yönü, çalınan kimlik bilgilerinin kötüye kullanılarak ek paket ve uzantıların tehlikeye atılması ve böylece kötü amaçlı yazılımın bir solucan gibi yayılmasıdır. Microsoft ve Open VSX’in devam eden çabalarına rağmen, kötü amaçlı yazılım geçen ay ikinci kez yeniden ortaya çıktı ve saldırganların GitHub depolarını hedef aldığı görüldü.
Secure Annex’ten John Tuckner tarafından tespit edilen GlassWorm kampanyasının en son dalgası, her iki depoyu da kapsayan toplam 24 uzantıyı içeriyor. Tanımlanan uzantıların listesi aşağıdadır –
VS Kodu Pazar Yeri:
- iconkieftwo.icon-tema-malzeme
- prisma-inc.prisma-studio-assistance (1 Aralık 2025 itibarıyla kaldırıldı)
- daha güzel-vsc.vsce-daha güzel
- flutcode.flutter-uzantısı
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.cluster-kodu-doğrulama
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-uzantısı
- solblanco. parlak vsce
- vsceue.fly-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-yerel-vsce
VSX’i açın:
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-for-tepki
- flutcode.flutter-uzantısı
- yamlcode.yaml-vscode-uzantısı
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.solidity
Saldırganların, uzantıların güvenilir görünmesini sağlamak için indirme sayılarını yapay olarak şişirdikleri ve bunların arama sonuçlarında belirgin bir şekilde görünmelerine neden oldukları, genellikle geliştiricileri yüklemeleri konusunda kandırmak için taklit ettikleri gerçek projelerin yakınında göründükleri tespit edildi.
Tuckner, “Uzantı başlangıçta onaylandıktan sonra, saldırgan kodu yeni bir kötü amaçlı sürümle kolayca güncelleyebilecek ve filtrelerden kolayca kaçabilecek gibi görünüyor” dedi. “Birçok kod uzantısı ‘etkinleştirme’ bağlamıyla başlıyor ve kötü amaçlı kod, etkinleştirme gerçekleştikten hemen sonra içeri giriyor.”
Yeni yineleme, hala görünmez Unicode numarasına dayanıyor olsa da, uzantıların içinde paketlenmiş Rust tabanlı implantların kullanılmasıyla karakterize ediliyor. Nextron Systems, “simge-tema-materyal” uzantısının analizinde, bunun Windows ve macOS sistemlerini hedef alabilen iki Rust implantıyla birlikte geldiğini söyledi.
- os.node adlı bir Windows DLL’si
- darwin.node adlı bir macOS dinamik kitaplığı
Önceki GlassWorm enfeksiyonlarında gözlemlendiği gibi, implantlar, C2 sunucusunun ayrıntılarını Solana blockchain cüzdan adresinden alacak ve bunu bir sonraki aşamadaki veri yükünü (şifrelenmiş bir JavaScript dosyası) indirmek için kullanacak şekilde tasarlandı. Yedek olarak C2 adresini almak için bir Google Takvim etkinliğini ayrıştırabilirler.
Tuckner yaptığı açıklamada, “Bir saldırganın en popüler pazaryerlerinin her ikisinde de bir hafta içinde 20’den fazla kötü amaçlı uzantı yayınlaması nadirdir” dedi. “Birçok geliştirici bu uzantılara kolaylıkla aldanabilir ve uzlaşmaya yalnızca bir tık uzaktadır.”