Microsoft’un Visual Studio Code (VSCode) Marketplace’inde toplu olarak 1,5 milyon kez yüklenen iki kötü amaçlı uzantı, geliştirici verilerini Çin merkezli sunuculara sızdırıyor.
Her iki uzantı da vaat edilen işlevselliği sağlayan yapay zeka tabanlı kodlama yardımcıları olarak tanıtılıyor. Ancak yükleme etkinliğini açıklamaz veya kullanıcılardan uzak bir sunucuya veri teslimi için izin istemezler.
VS Code Marketplace, Microsoft’un popüler kod düzenleyicisine yönelik eklentilerin resmi mağazasıdır. VS Code uzantıları, düzenleyiciye özellikler ekleyen veya araçları entegre eden, piyasadan yüklenebilir eklentilerdir. Şu anda en popüler eklenti kategorilerinden biri yapay zeka destekli kodlama asistanlarıdır.
Uç nokta ve tedarik zinciri güvenlik şirketi Koi’deki araştırmacılar, iki kötü amaçlı uzantının ‘MaliciousCorgi’ adını verdikleri bir kampanyanın parçası olduğunu ve geliştirici verilerini çalmak için aynı kodu paylaştıklarını söylüyor.
Ayrıca her ikisi de aynı casus yazılım altyapısını kullanıyor ve aynı arka uç sunucularla iletişim kuruyor. Yayınlanma zamanında her ikisi de piyasada mevcuttur:
- ChatGPT – Çince versiyonu (yayıncı: WhenSunset, 1,34 milyon yükleme)
- ChatMoss (CodeMoss) (yayıncı: zhukunpeng, 150 bin yükleme)
Kaynak: BleepingComputer
Uzantılar üç farklı veri toplama mekanizması kullanır. Birincisi, VS Code istemcisinde açılan dosyaların gerçek zamanlı izlenmesini içerir. Bir dosyaya erişildiğinde, dosyanın tüm içeriği Base64’te kodlanıyor ve saldırganların sunucularına aktarılıyor.
Açılan dosyada yapılan herhangi bir değişiklik de yakalanır ve dışarı çıkarılır.
Kaynak: Koi Güvenliği
Koi araştırmacıları, “Herhangi bir dosyayı açtığınızda – onunla etkileşimde bulunmadan, yalnızca açtığınızda – uzantı tüm içeriğini okur, onu Base64 olarak kodlar ve onu gizli bir izleme iframe’i içeren bir web görünümüne gönderir. 20 satır değil. Dosyanın tamamı” diyor.
İkinci mekanizma, her seferinde kurbanın çalışma alanından 50’ye kadar dosyayı gizlice ileten, sunucu kontrollü bir dosya toplama komutunu içeriyor.
Kaynak: Koi Güvenliği
Üçüncü mekanizma, dört ticari analiz SDK’sını yüklemek için uzantının web görünümünde sıfır pikselli bir iframe kullanır: Zhuge.io, GrowingIO, TalkingData ve Baidu Analytics.
Bu SDK’lar kullanıcı davranışını izlemek, kimlik profilleri oluşturmak, parmak izi cihazları oluşturmak ve düzenleyici içindeki etkinliği izlemek için kullanılır. Yani ilk ikisi geliştirici çalışma dosyalarını toplarken üçüncüsü kullanıcı profili oluşturmaya odaklanıyor.
Koi Security, özel kaynak kodunun, yapılandırma dosyalarının, bulut hizmeti kimlik bilgilerinin ve API anahtarları ile kimlik bilgilerini içeren .env dosyalarının açığa çıkması da dahil olmak üzere, bu uzantılardaki belgelenmemiş işlevlerin oluşturduğu riskleri vurgular.
BleepingComputer, VSCode pazarında iki uzantının varlığı konusunda Microsoft ile iletişime geçti, ancak hâlâ bir yanıt bekliyoruz. Uzantıların yayıncısı ile iletişim kanalı kuramadık.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.