TigerJack olarak bilinen karmaşık bir tehdit aktörü, en az 11 kötü amaçlı Visual Studio Code uzantısıyla geliştirici pazarlarına sistematik olarak sızarak dünya çapında binlerce masum geliştiriciyi hedef aldı.
Ab-498, 498 ve 498-00 dahil olmak üzere birden fazla yayıncı kimliği altında faaliyet gösteren bu siber suçlu, kaynak kodunu çalmak, kripto para madenciliği yapmak ve tam sistem kontrolü için uzak arka kapılar oluşturmak üzere tasarlanmış kapsamlı bir saldırı cephaneliği kurdu.
Bu operasyonun boyutu şaşırtıcı. TigerJack’in en başarılı uzantılarından ikisi olan “C++ Playground” ve “HTTP Format”, Microsoft bunları sessizce piyasadan kaldırmadan önce 17.000’den fazla geliştiriciye bulaştı. Ancak tehdit ilk yayından kaldırmanın ötesinde de devam ediyor.
.webp)
TigerJack’in git deposu (Kaynak – Koi)
Bu kötü amaçlı uzantılar, Cursor ve Windsurf gibi popüler IDE alternatiflerini destekleyen OpenVSX pazarında tamamen çalışır durumda kalıyor ve Microsoft platformundan kaldırılmalarından aylar sonra gizli operasyonlarına devam ediyor.
Bu kampanyayı özellikle sinsi yapan şey, tehdit aktörünün kullandığı karmaşık aldatmacadır.
Uzantılar tam olarak vaat ettikleri işlevselliği sunarken aynı zamanda arka planda kötü amaçlı faaliyetler yürütür.
Bu araçları yükleyen geliştiriciler, temeldeki kötü amaçlı yazılım işlemleri için mükemmel bir koruma sağlayan kod derleme, hata vurgulama ve biçimlendirme yetenekleri gibi orijinal yardımcı programlara sahip olur.
Koi analistleri, kapsamlı araştırmaları sırasında kötü amaçlı yazılımın karmaşık, çok katmanlı yaklaşımını tespit etti.
Tehdit aktörü, kötü amaçlı güncellemeleri dağıtmadan önce güven oluşturmak ve olumlu yorumlar toplamak için başlangıçta zararsız uzantılar yayınlayan bir truva atı stratejisi kullanıyor.
Bu metodik yaklaşım TigerJack’in büyük ölçekli fikri mülkiyet hırsızlığına karşı konumlanırken geliştirici topluluğu içinde güvenilirlik oluşturmasına olanak sağladı.
Güvenlik araştırmacıları bu operasyonu araştırırken bile TigerJack, koordineli bir yeniden yayınlama kampanyası başlatarak dikkate değer bir ısrar gösterdi.
17 Eylül 2025’te, “498-00” yayıncı hesabı altında, orijinal C++ Playground kötü amaçlı yazılımının yeniden paketlenmiş bir sürümü de dahil olmak üzere beş yeni uzantı aynı anda ortaya çıktı.
.webp)
Bu sistematik yaklaşım, fırsatçı saldırılardan ziyade uzun ömürlülüğe yönelik bir operasyonu ortaya koyuyor.
Kod Hırsızlığı Mekanizması ve Teknik Uygulaması
TigerJack’in kod sızma mekanizmasının teknik gelişmişliği, gelişmiş kötü amaçlı yazılım mühendisliğinin örneğidir.
“C++ Playground” uzantısı, onStartupFinished tetikleyicisi aracılığıyla otomatik olarak etkinleşir ve geliştiricinin çalışma alanındaki her C++ dosyasını izleyen bir belge değişikliği dinleyicisi oluşturur.
Kötü amaçlı yazılım, diğer programlama dillerinde çalışan geliştiricilerin tespitini önlemek için yalnızca C++ dosyalarını hedef alarak cerrahi hassasiyet kullanır.
Her tuş vuruşu, dikkatlice kalibre edilmiş 500 milisaniyelik bir gecikmenin ardından kötü amaçlı işlevi tetikler; bu, kullanıcıları uyarabilecek performans düşüşünü önlerken gerçek zamanlı olarak kod yakalayacak şekilde optimize edilmiştir.
Kaynak kodunun tamamı JSON yükleri halinde paketlenir ve “ab498.pythonanywhere.com” ve “api.codex.jaagrav.in” dahil olmak üzere birden fazla sızma uç noktasına iletilir.
Yük yapısı, yalnızca C++ kaynak kodunun tamamını değil aynı zamanda işlenmiş sürümleri ve simüle edilmiş giriş verilerini de yakalayarak veri hırsızlığının kapsamlı kapsamını ortaya çıkarır.
P.workspace.onDidChangeTextDocument((i) => {
if (i.document &&
i.document.languageId == "cpp" &&
i.document?.uri.scheme == "file") {
(j?.document.uri.toString() != mt.myfile &&
(mt.myfile != i.document.uri.toString()) &&
(Bt(i), (mt.myfile = i.document.uri.toString())))
}
})Sızdırılan veriler arasında çığır açan algoritmalar, rekabet avantajları, tez projeleri ve aylarca veya yıllarca süren fikri mülkiyet hırsızlığını temsil eden özel kodlar yer alıyor.
Bu mekanizma, uzantının meşru işlevselliğinin yanı sıra görünmez bir şekilde çalışarak, en değerli dijital varlıkları sistematik olarak çalınırken yalnızca vaat edilen özellikleri gözlemleyen bireysel geliştiriciler için tespit edilmesini son derece zorlaştırır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
