Geçtiğimiz hafta siber güvenlik uzmanları, OpenVSX Marketplace’teki VS Code uzantılarını hedef alan son derece karmaşık, kendi kendine yayılan bir kötü amaçlı yazılım kampanyası olan GlassWorm’un ortaya çıkışından etkilendi.
Bu saldırının ölçeği ve teknik karmaşıklığı, geliştirici ekosistemlerindeki tedarik zinciri güvenliği açısından bir dönüm noktasına işaret ediyor.
Ekim 2025 itibarıyla 35.800’den fazla kurulumun ele geçirildiği bildirildi ve aktif kötü amaçlı uzantılar doğada çalışmaya devam ettikçe bu sayı artıyor.
Etki yalnızca doğrudan kimlik bilgileri hırsızlığıyla değil, aynı zamanda geliştirici makinelerine derinlemesine sızma yoluyla da hissediliyor.
Kampanyanın ilk işaretleri, Koi araştırmacılarının görünüşte zararsız görünen “CodeJoy” uzantısında 1.8.3 sürüm güncellemesinden sonra olağandışı davranış değişiklikleri tespit etmesiyle ortaya çıktı.
Uzantı, ilk görsel kod incelemelerini geçse de Koi’nin risk motoru, onu anormal ağ bağlantıları ve kimlik bilgileri erişimi açısından işaretledi.
Yüzeysel incelemede tespit edilemeyen araştırmacılar, altta yatan enfeksiyon vektörünün hem yeni hem de endişe verici olduğunu kısa sürede buldular; kötü amaçlı kod, görünmez Unicode karakterler kullanılarak kodlandı ve meşru kaynak dosyalarla mükemmel bir şekilde harmanlanmasına olanak tanıdı.
Sonuç: JavaScript veri yükünün tüm blokları çıplak gözle görülmedi ve çoğu statik analiz aracı tarafından tespit edilemedi.
.webp)
Koi’nin soruşturması çok geçmeden tehdidin büyüklüğünü ortaya çıkardı. Solucan npm, GitHub ve OpenVSX’ten sırlar topluyor ve hatta 49 farklı kripto para birimi cüzdan uzantısını bile hedefliyor.
Kimlik bilgilerini çektikten sonra, ek uzantıları ele geçirmek için bunları kullanır ve böylece kendi kendine yayılan bir döngü elde eder.
Kurbanların cihazları daha sonra silah haline getiriliyor ve uzaktan saldırılar için suçlu vekil düğümler veya platformlar olarak hizmet veriyor ve bu da gerçekten dağıtılmış ve dayanıklı bir kampanya stratejisini gösteriyor.
Koi analistleri, saldırganların Solana blok zincirini kullanarak yok edilemez bir komuta ve kontrol (C2) altyapısı tasarladıklarını doğruladı.
Blockchain veri dağıtımının yanı sıra, geri dönüş C2 mekanizmaları (Google Takvim etkinlikleri ve doğrudan IP uç noktaları), kaldırma çabalarını neredeyse boşuna hale getiriyor.
Her iletişim, sonraki aşamalar için şifrelenmiş talimatlar içerir ve kötü amaçlı yazılımın neredeyse gerçek zamanlı olarak dinamik olarak güncellenmesine olanak tanır.
Bu yaklaşım, GlassWorm’un güvenliği ihlal edilmiş ağlara hızlı ve kalıcı bir şekilde uyum sağlamasına olanak tanır.
Görünmez Unicode: Enfeksiyon Mekanizması
GlassWorm’un çalışmasının göze çarpan bir yönü, Unicode “varyasyon seçici” istismarını kullanmasıdır. Kötü amaçlı yazılım, oluşturulmayan Unicode kod noktalarını JavaScript kaynak dosyalarına ekleyerek tüm mantık dallarını gizler.
Bu karakterler görsel editörler ve kod inceleme platformları tarafından göz ardı edilir ancak JavaScript yorumlayıcısı tarafından tanınır ve yürütülür.
Örneğin, ele geçirilen CodeJoy dosyasındaki bir bölüm, başarılı bir şekilde gizlenmiş, aslında işlevsel kötü amaçlı kodla dolu geniş bir boş alanı gösteriyordu.
// Line 2 appears empty but contains:
function stealCreds() {...}Bu yöntem temel olarak kod şeffaflığı varsayımlarını bozar. Geliştiriciler, farkları manuel olarak incelerken veya GitHub taahhütlerini incelerken bile enjekte edilen mantığı göremez.
Yalnızca bayt bazında veya derinlemesine uzmanlaşmış araçlar, gizli yükü ortaya çıkarabilir ve standart olmayan Unicode’u tespit etmek için kod denetiminin ve CI süreçlerinin güncellenmesinin kritikliğini vurgulayabilir; bu, savunucular için bir azaltma önceliğidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
