Ox Research, Mayıs ve Haziran 2025’te Visual Studio Kodu (VSCODE), Visual Studio, Intellij Fikir ve Memur gibi en popüler entegre geliştirme ortamlarının (IDE) genişletme doğrulama prosedürlerinde güvenlik kusurları ile ilgili çığır açan bir çalışma yürüttü.
Dünya çapında milyonlarca geliştirici için gerekli olan bu araçlar, işlevselliği artırmak için büyük ölçüde üçüncü taraf uzantılarına güvenmektedir.
Bununla birlikte, araştırma, saldırganların, kötü niyetli uzantıları güvenilir, doğrulanmış yazılım olarak gizlemek için doğrulama mekanizmalarındaki zayıflıklardan yararlanabileceğini ve potansiyel olarak geliştirici sistemlerinde keyfi kod yürütme gibi yıkıcı sonuçlara yol açabileceğini ortaya koymaktadır.
Popüler IDE’lerde ortaya çıkan kritik güvenlik kusurları
Soruşturma, Microsoft’un topluluk güdümlü uzantılarının geniş pazarı ile tanınan Microsoft’un ücretsiz ve açık kaynaklı editörü Visual Studio Code’a derin bir dalışla başladı.
Doğrulanmış yayıncıların uzantıları, Microsoft’un doğrulama süreci boyunca meşruiyeti işaret eden mavi bir onay işareti ile işaretlenir.
Yine de, OX araştırmacıları bu doğrulama sisteminin kusurlu olduğunu keşfettiler. Ağ trafiğini Marketplace.visualstudio.com’a analiz ederek, VSCode’nin bir uzantının doğrulanmış durumunu onaylamak için sunucuyu nasıl sorguladığını belirlediler.
Paketlenmiş dosyaların ve sunucu isteklerinin titiz bir şekilde incelenmesi yoluyla, ekip kritik değerleri bir kavram kanıtı kötü amaçlı uzatmada başarıyla değiştirerek, zararlı kod içermesine rağmen doğrulanmasını sağladı.
Bir gösteri olarak, bir geliştiricinin iş istasyonunda yetkisiz komut yürütme potansiyelini kanıtlayarak hesap makinesi uygulamasını başlatmak için basit bir komut yerleştirdiler.
Bir VSIX dosyası olarak paketlenen bu uzantı, şüphesiz geliştiricilerin yerel olarak indirip yükleyebilecekleri GitHub gibi platformlara yüklenebilir ve güven kontrollerini tamamen atlayabilir.
Geliştirme platformları arasında yaygın etkiler
Araştırmalarını VSCODE’nin ötesine uzatan Ox ekibi, Visual Studio, Intellij fikri ve imleci üzerindeki benzer istismarları tekrarladı ve dosya yapılarındaki ve doğrulama protokollerindeki farklılıklara rağmen paralel güvenlik açıklarını ortaya çıkardı.
Doğrulama taleplerine bağlı değerleri manipüle ederek, bu platformlarda güvenilir, doğrulanmış statüyü koruyan uzantılar hazırladılar.
Bu tutarlı kusur, IDE’lerin uzatma bütünlüğünü nasıl ele alarak tehlikeli bir yanlış güvenlik duygusu yarattığında sistemik bir sorun olduğunu göstermektedir.
Özellikle harici depolardan veya resmi pazarların dışındaki web sitelerinden uzantılar elde ederken, güvenlik ayırt edici özel bir güvenlik olarak doğrulanmış sembole güvenen geliştiriciler artan risk altındadır.
Bu bulguların sonuçları derindir. Kurulduktan sonra kötü niyetli uzantılar, kullanıcının bilgisi olmadan, hassas verileri, fikri mülkiyeti veya hatta tüm geliştirme ortamlarını tehlikeye atmadan keyfi kod yürütebilir.
Meşru VSIX veya ZIP dosyaları gibi uzantıları paketleme yeteneği, saldırganlar onları GitHub gibi güvenilir kanallardan dağıtabilir ve topluluk paylaşılan kaynaklarda yer alan güvenilir kanallardan yararlanır.
Ox Research, yalnızca doğrulama sembollerine dayanmanın güvenliği garanti etmek için yetersiz olduğu konusunda uyarır.
Bu güvenlik açığı, küresel geliştirici topluluğunu potansiyel kötü amaçlı yazılım ve siber saldırılardan korumak için daha sağlam doğrulama süreçleri ve genişletme kodunun geliştirilmiş incelemesi de dahil olmak üzere daha güçlü güvenlik önlemlerine acil ihtiyacın altını çizmektedir.
IDE’ler programlama manzarasına hakim olmaya devam ettikçe, bu kritik kusurları ele almak, yazılım geliştirme ekosistemlerinin bütünlüğünü korumak için Microsoft ve Jetbrains gibi satıcılar için en önemli öncelik olmalıdır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt