Siber suçlular, Windows geliştiricilerinin 46.600 kez indirdiği üç kötü amaçlı Visual Studio uzantısını karşıya yükleyerek Microsoft’un VSCode Marketplace’ini hedef almaya başlıyor.
Analistlerinin kötü amaçlı uzantıları keşfedip Microsoft’a bildirdiği Check Point’e göre, kötü amaçlı yazılım, tehdit aktörlerinin kimlik bilgilerini, sistem bilgilerini çalmasına ve kurbanın makinesinde uzak bir kabuk oluşturmasına olanak sağladı.
Uzantılar 4 Mayıs 2023’te keşfedildi ve bildirildi ve daha sonra 14 Mayıs 2023’te VSCode pazarından kaldırıldı.
Ancak, kötü amaçlı uzantıları kullanmaya devam eden tüm yazılım geliştiricilerin, bu uzantıları sistemlerinden manuel olarak kaldırması ve bulaşma kalıntılarını tespit etmek için tam bir tarama yapması gerekir.
VSCode Marketplace’teki kötü amaçlı vakalar
Visual Studio Code (VSC), Microsoft tarafından yayınlanan ve dünya çapında önemli bir profesyonel yazılım geliştirici yüzdesi tarafından kullanılan bir kaynak kodu düzenleyicisidir.
Microsoft ayrıca IDE için, uygulamanın işlevselliğini artıran ve daha fazla özelleştirme seçeneği sunan 50.000’den fazla eklenti sunan VSCode Marketplace adlı bir uzantı pazarı işletmektedir.
Check Point araştırmacıları tarafından keşfedilen kötü amaçlı uzantılar şunlardır:
“Tema Darcula karanlık” – “VS Code’da Drakula renk tutarlılığını iyileştirme girişimi” olarak tanımlanan bu uzantı, ana bilgisayar adı, işletim sistemi, CPU platformu, toplam bellek ve CPU hakkında bilgiler dahil olmak üzere geliştiricinin sistemi hakkında temel bilgileri çalmak için kullanıldı.
Uzantı başka kötü amaçlı etkinlik içermese de, bir tema paketiyle ilişkili tipik bir davranış değildir.
Bu uzantı, 45.000’den fazla kez indirilerek açık ara en fazla tiraja sahip olan uzantıdır.
“python-vscode” – Bu uzantı, iyi bir ada sahip olmanın biraz ilgi çekmek için yeterli olduğunu gösteren boş açıklamasına ve yükleyici adı olan ‘testUseracc1111’e rağmen 1.384 kez indirildi.
Kodunun analizi, kurbanın makinesinde kod veya komutları çalıştırabilen bir C# kabuk enjektörü olduğunu gösterdi.
“en güzel java” – Uzantının adı ve açıklamasına göre, muhtemelen popüler ‘prettier-java’ kod biçimlendirme aracını taklit etmek için oluşturulmuş.
Gerçekte, Discord ve Discord Canary, Google Chrome, Opera, Brave Browser ve Yandex Browser’dan kaydedilmiş kimlik bilgilerini veya kimlik doğrulama jetonlarını çaldı ve bunlar daha sonra bir Discord web kancası üzerinden saldırganlara gönderildi.
Uzantının 278 yüklemesi oldu.
Check Point ayrıca, kesin olarak kötü niyetli olarak nitelendirilemeyen, ancak özel havuzlardan kod alma veya dosya indirme gibi güvenli olmayan davranışlar sergileyen birden çok şüpheli uzantı da buldu.
Yazılım havuzları risk taşır
NPM ve PyPi gibi kullanıcı katkılarına izin veren yazılım havuzlarının, tehdit aktörleri için popüler bir hedef haline geldikçe, kullanımının riskli olduğu defalarca kanıtlanmıştır.
VSCode Marketplace yeni hedeflenmeye başlarken, AquaSec Ocak ayında kötü amaçlı uzantıları VSCode Marketplace’e yüklemenin oldukça kolay olduğunu gösterdi ve oldukça şüpheli bazı vakalar sundu. Ancak, herhangi bir kötü amaçlı yazılım bulamadılar.
Check Point tarafından keşfedilen vakalar, tehdit aktörlerinin, tam olarak NPM ve PyPI gibi diğer yazılım havuzlarında yaptıkları gibi, artık aktif olarak Windows geliştiricilerine kötü amaçlı gönderimler bulaştırmaya çalıştığını gösteriyor.
VSCode Marketplace ve tüm kullanıcı destekli havuzların kullanıcılarına, yalnızca çok sayıda indirme ve topluluk derecelendirmesine sahip güvenilir yayıncıların uzantılarını yüklemeleri, kullanıcı incelemelerini okumaları ve yüklemeden önce her zaman uzantının kaynak kodunu incelemeleri önerilir.