VSCode uzantı pazarı, yazılım tedarik zincirinde kritik bir güvenlik açığı haline geldi. HelixGuard Team’deki güvenlik araştırmacıları yakın zamanda Microsoft VSCode Marketplace ve OpenVSX’te faaliyet gösteren 12 kötü amaçlı uzantı keşfetti ve tespit edilmelerine rağmen dördü aktif kaldı.
Bu uzantılar, kaynak kodunu çalmak, hassas kimlik bilgilerini sızdırmak, uzak arka kapılar oluşturmak ve geliştirici ortamlarının yetkisiz gözetimini gerçekleştirmek için karmaşık teknikler kullanır.
Keşif, rahatsız edici bir eğilimin altını çiziyor: IDE eklentileri, geliştirme ekiplerine ve onların fikri mülkiyetlerine büyük ölçekte zarar vermek isteyen tehdit aktörleri için güçlü bir saldırı vektörü olarak ortaya çıktı.
Güvenlik açığı manzarası bu tek keşfin çok ötesine uzanıyor. VSCode uzantı ekosistemini analiz eden bir arXiv makalesinden elde edilen araştırmaya göre, piyasada bulunan 52.880 uzantının yaklaşık yüzde 5,6’sı şüpheli davranış kalıpları sergiliyor.
Daha da endişe verici olanı yükleme sayısıdır; bu şüpheli uzantıların toplam indirme sayısı 613 milyondan fazladır.
Yapay zeka destekli kodlama asistanlarının büyümesi ve genişleyen VSCode kullanıcı tabanı, tedarik zinciri saldırıları için hedef olarak uzantı pazarının çekiciliğini artırdı.
Birincil entegre geliştirme ortamı olarak VSCode’a güvenen dünya çapındaki geliştiriciler, kendi geliştirme çalışmalarıyla aynı ayrıcalıklarla çalışan kötü amaçlı eklentilerden kaynaklanan benzeri görülmemiş risklerle karşı karşıyadır.
Dört Uzantı Hala Etkin
Keşfedilen 12 kötü amaçlı uzantıdan dördü, güvenlik endişelerine rağmen piyasada erişilebilir durumda.
Christine-devops1234.scraper uzantısı, makine kimliklerini, proje adlarını, kaynak kod dosyası içeriklerinin tamamını, arama sorgularını, sohbet istemlerini, seçilen kod parçacıklarını ve görüntüleri çalarak bu verileri 35.164.75.62:8080 adresindeki saldırgan tarafından kontrol edilen bir sunucuya iletiyor.
Kodease.fyp-23-s2-08 uzantısı, saldırgan tarafından kontrol edilen bir Ngrok sunucusuna kod sızdırırken GuyNachshon.cxcx123, saldırganın altyapısına HTTPS istekleri göndererek kurulum algılamayı gerçekleştirir.
sahil92552.CBE-456 uzantısı, kod analiz işlemleri sırasında kaynak kodunu çalarak uzak sunuculara iletmektedir. Bu dört aktif tehdit, bunları bilmeden yükleyebilecek geliştiriciler için acil riskler oluşturmaya devam ediyor.
Keşfedilen kötü amaçlı uzantılar, saldırı karmaşıklığının ilerleyişini ortaya koyuyor. Aktif kod yürütme yeteneklerini uygulamak için çeşitli uzantılar pasif veri toplamanın ötesine geçer.
teste123444212.teste123444212 uzantısı, saldırgan tarafından kontrol edilen AWS altyapısına kalıcı bağlantılar kurarak geliştirici makinelerde uzaktan kod yürütülmesine olanak tanır.
ToToRoManComp.diff-tool-vsc uzantısı, 89.104.69.35:445 adresindeki bir komut ve kontrol sunucusuna bağlanarak, saldırganlara etkileşimli kabuk erişimi sağlayan Perl ters kabuklarını indirip çalıştırır. Deriv-AI.deriv-ai uzantısı, nightpaw truva atını indirip çalıştırarak kapsamlı ana bilgisayar keşif ve uzaktan kontrol olanağı sağlar.
Diğer uzantılar hedeflenen bilgilerin çıkarılmasına odaklanır. BX-Dev.Blackstone-DLP uzantısı, ekran görüntülerini ve pano içeriklerini yakalayarak bu verileri saldırganın altyapısına aktarır; bu teknik özellikle kimlik bilgilerinin, kimlik doğrulama belirteçlerinin ve hassas kod parçacıklarının çalınmasında etkili bir tekniktir.
VKTeam.ru uzantısı, bu verileri etki alanı kriterlerine göre seçici olarak raporlamadan önce kullanıcı adını, ana bilgisayar adını, işletim sistemini, mimariyi ve etki alanı bilgilerini çıkararak ortam keşfi gerçekleştirir.
Tedarik Zinciri Saldırılarına Karşı Savunma
Kurumsal güvenlik ekipleri acil koruyucu önlemler almalıdır. Yüklü VSCode uzantılarının düzenli denetimleri standart uygulama haline gelmeli, daha az bilinen veya yakın zamanda oluşturulan uzantılara özellikle dikkat edilmelidir.
VSCode pazar yeri olayı, tedarik zinciri saldırılarının geleneksel yazılım bağımlılıklarının ötesinde geliştirme araç zincirinin kendisine doğru evrildiğini gösteriyor.
Kuruluşlar, uzantı kurulumunu doğrulanmış, geniş çapta benimsenen eklentilerden oluşan seçilmiş izin verilenler listeleriyle sınırlayan politikalar oluşturmalıdır.
Bu uzantıların çoğu bilinen komuta ve kontrol altyapısıyla iletişim kurduğundan, güvenlik ekipleri geliştirme ortamlarından kaynaklanan şüpheli ağ bağlantılarını izlemelidir.
Ayrıca geliştiriciler, üçüncü taraf IDE eklentilerinin risklerini ve kurulumdan önce uzantının orijinalliğini doğrulamanın önemini vurgulayan güvenlik farkındalığı eğitimine ihtiyaç duyar.
IDE’ler giderek genişletilebilir hale geldikçe ve geliştiriciler yapay zeka destekli kodlamayı benimsedikçe, uzantı pazarı tehdit aktörleri için cazip bir hedef olmaya devam edecek. Geliştirme araçlarının dikkat, doğrulama ve öncelikli güvenlik yönetimi, kurumsal siber güvenlik stratejisinin temel unsurları haline geldi.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.