Siber güvenlik araştırmacıları, Open VSX Registry ve Microsoft Extension Marketplace’te Visual Studio Code (VS Code) uzantıları aracılığıyla yayılan, kendi kendine yayılan bir solucan keşfettiler ve geliştiricilerin saldırılar için nasıl birincil hedef haline geldiğinin altını çizdiler.
Kod adı verilen karmaşık tehdit Cam Solucanı Koi Security tarafından gerçekleştirilen bu saldırı, Eylül 2025 ortasında npm ekosistemini hedef alan Shai-Hulud solucanından sonra DevOps alanını bir ay içinde vuran ikinci tedarik zinciri saldırısıdır.
Saldırıyı öne çıkaran şey, Solana blok zincirinin komuta ve kontrol (C2) için kullanılması ve altyapıyı kaldırma çabalarına karşı dayanıklı hale getirmesidir. Ayrıca Google Takvim’i C2 geri dönüş mekanizması olarak kullanır.
Idan Dardikman teknik bir raporda, GlassWorm kampanyasının bir başka yeni yönü de “kötü amaçlı kodları kod editörlerinden kelimenin tam anlamıyla ortadan kaldıran görünmez Unicode karakterlere” dayanmasıdır, dedi. “Saldırgan, Unicode varyasyon seçicilerini (Unicode spesifikasyonunun bir parçası olan ancak herhangi bir görsel çıktı oluşturmayan özel karakterler) kullandı.”
Saldırının nihai amacı, npm, Open VSX, GitHub ve Git kimlik bilgilerini toplamak, 49 farklı kripto para birimi cüzdan uzantısındaki fonları boşaltmak, geliştirici makinelerini suç faaliyetleri için kanallara dönüştürmek üzere SOCKS proxy sunucularını dağıtmak, uzaktan erişim için gizli VNC (HVNC) sunucuları kurmak ve çalınan kimlik bilgilerini daha ileri amaçlar için ek paket ve uzantıları tehlikeye atmak üzere silah haline getirmektir. yayılma.
13’ü Open VSX’te ve biri Microsoft Extension Marketplace’te olmak üzere virüs bulaşan uzantıların adları aşağıda listelenmiştir. Bu uzantılar yaklaşık 35.800 kez indirildi. İlk enfeksiyon dalgası 17 Ekim 2025’te gerçekleşti. Bu uzantıların nasıl ele geçirildiği şu anda bilinmiyor.
- codejoy.codejoy-vscode-extension 1.8.3 ve 1.8.4
- l-igh-t.vscode-tema-seti-klasörü 1.2.3
- kleinefilmroellchen.serenity-dsl-sözdizimihighlight 0.3.2
- JScearcy.rust-doc-viewer 4.2.1
- SIRILMP.dark-theme-sm 3.11.4
- CodeInKlingon.git-worktree-menü 1.0.9 ve 1.0.91
- ginfuru.better-nunjucks 0.3.2
- ellacrity.recoil 0.7.4
- grrrck.positron-plus-1-e 0.0.71
- jeronimokerdt.renk-seçici-evrensel 2.8.91
- srcery-colors.srcery-renkler 0.3.9
- sissel.shopify-liquid 4.0.1
- TretinV3.forts-api uzantısı 0.3.1
- cline-ai-main.cline-ai-agent 3.1.3 (Microsoft Uzantı Pazarı)
Uzantıların içine gizlenen kötü amaçlı kod, Solana blok zincirinde saldırgan tarafından kontrol edilen bir cüzdanla ilişkili işlemleri aramak için tasarlanmıştır ve bulunursa, kodu C2 sunucusuna (“217.69.3) çözen not alanından Base64 kodlu bir dize çıkarmaya devam eder.[.]218” veya “199.247.10[.]166”) sonraki aşamadaki yükü almak için kullanılır.
Yük, kimlik bilgilerini, kimlik doğrulama belirteçlerini ve kripto para birimi cüzdan verilerini yakalayan ve başka bir Base64 kodlu dizeyi ayrıştırmak ve Zombi kod adlı bir veri yükü elde etmek için aynı sunucuyla iletişim kurmak için bir Google Takvim etkinliğine ulaşan bir bilgi hırsızıdır. Veriler uzak bir uç noktaya sızdırılır (“140.82.52[.]31:80”) tehdit aktörü tarafından yönetiliyor.
JavaScript ile yazılan Zombi modülü, SOCKS proxy’sini, eşler arası iletişim için WebRTC modüllerini, merkezi olmayan komut dağıtımı için BitTorrent’in Dağıtılmış Karma Tablosunu (DHT) ve uzaktan kontrol için HVNC’yi bırakarak GlassWorm enfeksiyonunu tam teşekküllü bir tehlikeye dönüştürür.
Sorun, VS Code uzantılarının otomatik güncelleme yapacak şekilde yapılandırılmış olması ve tehdit aktörlerinin herhangi bir kullanıcı etkileşimi gerektirmeden kötü amaçlı kodu otomatik olarak iletmesine olanak sağlaması nedeniyle daha da artıyor.
Dardikman, “Bu tek seferlik bir tedarik zinciri saldırısı değil” dedi. “Bu, geliştirici ekosistemine orman yangını gibi yayılmak üzere tasarlanmış bir solucan.”
“Saldırganlar, tedarik zincirindeki kötü amaçlı yazılımları nasıl kendi kendini sürdürebilir hale getireceklerini buldular. Artık sadece bireysel paketlerden ödün vermiyorlar; aynı zamanda tüm yazılım geliştirme ekosistemine otonom olarak yayılabilen solucanlar da inşa ediyorlar.”
Bu gelişme, Blockchain’in kötü amaçlı yükleri sahnelemek için kullanımının, takma ad ve esneklik nedeniyle bir artışa tanık olmasıyla birlikte ortaya çıkıyor; Kuzey Kore’deki tehdit aktörleri bile casusluk ve finansal motivasyonlu kampanyalarını düzenlemek için bu teknikten yararlanıyor.