Tehlikeli bir kötü amaçlı yazılım kampanyası, Visual Studio Code Marketplace’teki sahte bir uzantı aracılığıyla binlerce geliştiriciyi hedef aldı.
21 Kasım 2025’te güvenlik araştırmacıları, meşru Prettier kod biçimlendiricisini taklit ederek geliştiricileri onu yüklemeye ikna etmek için tasarlanmış “prettier-vscode-plus” adlı kötü amaçlı bir uzantı keşfetti.
Uzantı, marka bilinirliğinden yararlandı ve biçimlendirme araçları arayan geliştiricileri hedef alarak geliştirme topluluğu için ciddi bir tehdit oluşturdu.
Kötü amaçlı uzantı, kullanıcıları aldatmak için orijinal Prettier uzantısıyla neredeyse aynı adı ve görünümü kullanarak, marka hırsızlığı saldırısı olarak çalıştı.
Bu tür saldırılar özellikle etkilidir çünkü geliştiriciler genellikle tanıdıkları popüler uzantılara güvenirler.
Checkmarx güvenlik araştırmacıları, uzantıyı hızlı bir şekilde tespit edip bildirdiler; bu da, yayınlandıktan sonraki dört saat içinde kaldırılmasını sağladı.
Hızlı tepkiye rağmen uzantı, piyasadan kaldırılmadan önce altı indirme ve üç kurulum yapmayı başardı.
Checkmarx güvenlik analistleri, uzantının, Windows sistemlerinden hassas bilgileri toplamak için tasarlanmış bir kimlik bilgisi çalma aracı olan Anivia Stealer kötü amaçlı yazılımının bir varyantını kullandığını tespit etti.
Kötü amaçlı yazılım özellikle oturum açma kimlik bilgilerini, meta verileri ve WhatsApp sohbetleri dahil özel iletişimleri hedef aldı.
Bu keşif, geliştirici hesaplarının güvenliğini aşmayı ve değerli kimlik doğrulama verilerini çalmayı amaçlayan karmaşık ve iyi koordine edilmiş bir saldırıyı ortaya çıkardı.
Çok Aşamalı Saldırı Altyapısı ve Kaçınma Taktikleri
Kötü amaçlı yazılım, yaygın güvenlik araçları tarafından tespit edilmekten kaçınmak için tasarlanmış çok aşamalı bir dağıtım süreci kullanıyordu. İlk aşama, yük verilerinin GitHub deposundan base64 kodlu bir blob olarak edinilmesini ve ardından VBScript kodunun çalıştırılmak üzere sistemin geçici dizinine yazılmasını içeriyordu.
VBS betiği bir önyükleme mekanizması olarak işlev gördü ve dosyaları diske yazmadan doğrudan bellekte bir AES şifreleme anahtarı (AniviaCryptKey2024!32ByteKey!HXX) kullanarak blobun şifresini çözen PowerShell komutlarını tetikledi.
Bu yaklaşım, tespit edilebilir adli yapaylıkları önemli ölçüde azaltarak saldırının uç nokta güvenlik sistemleri tarafından izlenmesini zorlaştırdı.
Son aşamada, şifresi çözülmüş ikili dosyayı bellekten yürütmek için Reflection.AssemblyLoad kullanıldı ve çalma işlevini etkinleştirmek için giriş noktası “Anivia.AniviaCRT” çağrıldı.
Bu teknik, minimum düzeyde enfeksiyon kanıtı bıraktı; geçici dosya varlığı, dikkate değer tek disk etkinliğiydi. Ayrıca kötü amaçlı yazılım, patlama odalarında tetiklenmeyi önlemek için korumalı alan ortamlarını tespit ederek, küçük CPU sayımlarını ve sınırlı RAM kullanılabilirliğini kontrol ederek gelişmiş kaçınma teknikleri uyguladı.
Gelişmiş mimari, yetenekli tehdit aktörlerinin uç nokta tespit ve yanıt çözümlerini atlatmak için özel olarak tasarlanmış bir saldırı geliştirdiğini gösterdi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
