Gelişmiş Tehdit Aktörü, Kod Çalan ve Kripto Para Madenciliği Yapan Truva Atı Uzantıları Aracılığıyla 17.000’den Fazla Geliştiricinin Güvenliğini Ele Geçiriyor.
2025’in başlarından bu yana birden fazla yayıncı hesabı (ab-498, 498 ve 498-00) altında faaliyet gösteren bu gelişmiş kampanya, kaynak kodunu çalan, kripto para birimi madenciliği yapan ve tam sistem kontrolü için uzak arka kapılar oluşturan uzantıları dağıtıyor.
TigerJack olarak bilinen yeni tanımlanan bir tehdit aktörü, en az 11 kötü amaçlı Visual Studio Code uzantısıyla geliştirici pazarlarına başarıyla sızarak dünya çapında 17.000’den fazla geliştiricinin güvenliğini tehlikeye attı.
En başarılı iki kötü amaçlı uzantı olan “C++ Playground” ve “HTTP Format”, aylarca süren çalışmanın ardından Microsoft’un VS Code pazarından sessizce kaldırıldı.
Bununla birlikte, her iki uzantı da Cursor ve Windsurf gibi alternatif IDE’leri destekleyen OpenVSX pazarında tamamen çalışır durumda kalıyor ve Microsoft platformundan kaldırılmalarından aylar sonra geliştiricilerin güvenliğini tehlikeye atmaya devam ediyor.
Daha da endişe verici olanı, bu operasyonun araştırılması sırasında TigerJack’in aynı zararlı kodu Microsoft pazarında yeni isimler altında yeniden yayınlaması, bu tehdidin kalıcı doğasını ortaya koydu.
Mükemmel Kılık
TigerJack’in çalışmasını özellikle sinsi yapan şey, bu uzantıların aslında reklamı yapıldığı gibi çalışmasıdır.
Eşlik eden kötü amaçlı yazılım gibi, aslında işe yarıyor. Yükleyin, bir HTTP dosyasında Ctrl+Shift+F tuşlarına basın ve dağınık API isteklerinizin güzel bir şekilde biçimlendirilmesini izleyin.
“C++ Playground” uzantısı vaat ettiği her şeyi sunar: gerçek zamanlı kod derleme, Google’ın C++ stil kılavuzunu kullanarak otomatik biçimlendirme, hata vurgulama ve kusursuz VS Code entegrasyonu.
Aracı değerlendiren herhangi bir geliştirici için bu, gösterişli, profesyonel düzeyde bir uzantı gibi görünmektedir.
Ancak bu maskenin altında karmaşık kötü amaçlı yazılımlar yatıyor. Uzantı, VS Code başladığında otomatik olarak etkinleştirilir ve her C++ dosyasını izleyen bir belge değişikliği dinleyicisini kaydeder.
Her tuş vuruşu, 500 milisaniyelik bir gecikmenin ardından bir işlevi tetikleyerek kaynak kodunun tamamını yakalar ve bunu birden fazla uç noktaya iletir. ab498.pythonanywhere.com Ve api.codex.jaagrav.in.
Kötü amaçlı yazılım, cerrahi bir hassasiyetle çalışıyor, tespit edilmekten kaçınmak için yalnızca C++ dosyalarını etkinleştiriyor ve çığır açan algoritmalardan özel şirket koduna kadar her şeyi yakalıyor.
“HTTP Formatı” uzantısı farklı bir saldırı vektörü kullanıyor. Meşru HTTP dosya biçimlendirme işlevselliği sağlarken, virüslü makineleri gizlice kripto para birimi madenciliği donanımlarına dönüştürür.
Uzantı, sabit kodlanmış CoinIMP madencilik hizmeti kimlik bilgilerini içerir; bakiye izleme, kullanıcı yönetimi ve kripto para çekme uç noktalarına bağlantılar kurar.
Etkilenen geliştiriciler sürekli çalışan fanlar, sistem gecikmesi ve performans düşüklüğü yaşarken TigerJack, ele geçirilen CPU kaynaklarından kazanç sağlıyor.
Uzaktan Arka Kapı Erişimi
En endişe verici keşif, “498” yayıncı hesabı altında uzaktan kod yürütme yetenekleri içeren üç uzantıyı içeriyor.
Bu arada TigerJack için bu çok zahmetsiz. Virüs bulaşan her makine pasif bir gelir akışına dönüşür; görünmez, otomatik ve ölçeklenebilir.
Bu uzantılar, her 20 dakikada bir yeni komutları kontrol eden, TigerJack’in sunucusundan rastgele JavaScript indirip çalıştıran kalıcı arka kapılar oluşturur. eval() işlev.
Bu uzaktan erişim özelliği, operasyonu hedeflenen kötü amaçlı yazılımdan herhangi bir saldırı için açık bir kapıya dönüştürür. TigerJack, kimlik bilgilerini çalmak, fidye yazılımı dağıtmak, güvenliği ihlal edilmiş geliştirici makinelerini kurumsal ağlara giriş noktaları olarak kullanmak, projelere arka kapılar enjekte etmek veya uzantıyı hiçbir zaman güncellemeden gerçek zamanlı olarak etkinliği izlemek için yükleri dinamik olarak iletebilir. Bu, maksimum esneklik ve kontrol için tasarlanmış gelişmiş saldırı altyapısını temsil eder.
Araştırma, güvenilirlik için GitHub depoları, tutarlı markalama, ayrıntılı özellik listeleri ve yasal araçları taklit eden stratejik adlandırma gibi profesyonel düzeyde sosyal mühendislik taktikleri kullanan, üç yayıncı hesabında 11 uzantıyı kapsayan koordineli bir kampanyayı ortaya koyuyor.
Analiz, özellikle sinsi bir truva atı taktiğini ortaya çıkardı: Birkaç uzantı başlangıçta, hiçbir kötü amaçlı kod içermeyen, tamamen zararsız araçlar olarak yüklendi.
Bu yaklaşım TigerJack’in olumlu yorumlar toplamasına, güvenlik taramalarını geçmesine ve kötü amaçlı işlevsellik getiren güncellemeleri yayınlamadan önce meşruiyet oluşturmasına olanak tanıdı.
Kurulumdan önce uzantıları incelemiş olan geliştiriciler, daha sonraki güncellemeler aracılığıyla bilmeden güvenliği ihlal edilmiş araçlara maruz kaldı.
17 Eylül 2025’te TigerJack, eş zamanlı olarak yeni “498-00” yayıncı hesabı altında beş uzantı yayınlayarak koordineli bir yeniden yayınlama kampanyası başlattı; bunlar arasında, kaldırılan orijinal uzantıdaki aynı kötü amaçlı kodu yeniden paketleyen “cppplayground” da vardı.
Pazaryeri Güvenlik Arızası
TigerJack operasyonu, parçalanmış geliştirici pazarı ekosistemindeki temel kusurları ortaya çıkarıyor.
Microsoft’un nihai kaldırma işlemi, sıfır kullanıcı bildirimi ile sessiz silme işlemini içeriyordu; herhangi bir güvenlik tavsiyesi yok, güvenliği ihlal edilen 17.000’den fazla geliştiriciye uyarı yok, yalnızca belirsiz bir GitHub deposuna gömülü uzantı kimlikleri var.
Daha da endişe verici olanı, her iki kötü amaçlı uzantının da profesyonel açıklamalar, kullanıcı incelemeleri ve güvenlik yanılsaması yaratan doğrulanmış rozetlerle OpenVSX pazarında tamamen çalışır durumda kalmasıdır.
Alternatif pazaryerlerinde neredeyse hiç güvenlik algılama mekanizması yok gibi görünüyor ve geliştiriciler bilmeden açığa çıkarken kötü amaçlı yazılımların platformlar arasında geçiş yaptığı bir güvenlik kabuğu oyunu yaratıyor.
Güvenlik silolar halinde çalıştığında, gelişmiş tehdit aktörleri platformlar arasındaki boşluklardan yararlanarak kaldırılan kötü amaçlı yazılımları minimum sorunla yeniden yayınlar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.