Zoom Uygulaması Chrome’dan Çerezleri Çalırken Kötü Amaçlı VS Kod Taklidi

   Ocak 22, 2025  Posted in CyberSecurityNews


Zoom Uygulaması Chrome'dan Çerezleri Çalırken Kötü Amaçlı VS Kod Taklidi

Siber güvenlik araştırmacıları, Visual Studio Code (VS Code) kullanan geliştiricileri hedef alan yeni bir tehdidi ortaya çıkardı.

Zoom uygulaması gibi görünen, Google Chrome’dan çerezleri çalan kötü amaçlı bir uzantının keşfedilmesi, VS Code uzantı ekosisteminin güvenliğiyle ilgili endişeleri artırıyor.

30 Kasım 2024’te VS Code Marketplace’e yüklenen ve en son 8 Aralık’ta güncellenen aldatıcı uzantı, Zoom Workspace aracının kimliğine bürünüyor.

Yükleyici, güvenilirliğini artırmak için Zoom Meeting SDK’sının meşru GitHub deposuna bir bağlantı ekledi.

Kötü amaçlı uzantının temel işlevleri iki ana dosyada bulunur: –

  1. ./dist/extension.js: Uzantının etkinleştirilmesi ve devre dışı bırakılmasından sorumludur.
  2. ./src/extension-web.js: Uzantının birincil mantığını içerir.

Hunt.io’daki araştırmacılar, uzantının package.json dosyasındaki “onStartupFinished” olayı kullanılarak etkinleştirildiğini ve VS Code tamamen yüklendikten sonra herhangi bir kötü amaçlı kodun çalıştırılmasını sağladığını belirledi.

‘activationEvents’ alanını gösteren package.json (Kaynak – Hunt.io)

Anahtar Bileşenler: –

  • Uzantı, veritabanı etkileşimleri için sqlite3 ve sisteme özel işlemler için yol ve işletim sistemi dahil olmak üzere çeşitli Node.js modüllerini kullanır.
  • Şüpheli bir uç nokta bildirildi: ‘https://api.storagehb.cn/d?v=1.3’, Çin’de barındırılan bir sunucuya işaret ediyor.
  • Kod, Chrome’un çerez deposuna ve güvenlik hesaplarıyla ilgili Windows kayıt defteri verilerine erişmeye çalışır.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Sahte Bir VS Kodu Uzantısı

Chrome çerezleri veritabanından hassas bilgileri çıkarmak için bir SQL sorgusu kullanılır: –

SELECT host_key, name, encrypted_value, path, expires_utc, is_secure, is_httponly, creation_utc, has_expires, is_persistent FROM cookies
Şüpheli uzantı için VS Code Marketplace’e genel bakış sayfası (Kaynak – Hunt.io)

Bu sorgu, şifrelenmiş değerler, son kullanma tarihleri ​​ve güvenlik işaretleri dahil olmak üzere çeşitli çerez niteliklerini alır.

Uzantı ilk olarak 30 Kasım’da 0.2.0 ve 0.2.1 sürümleri olarak yayınlandı; kod, 8 Aralık’ta 0.2.2 sürümünde tanıtılan Google Chrome çerezlerini hedef alıyordu. Bu, erken tespit mekanizmalarını atlatmak için kasıtlı bir stratejiyi akla getiriyor.

Bu keşif, VS Code uzantılarıyla ilişkili potansiyel güvenlik risklerini vurgulamaktadır. Geliştiricilere şunları yapmaları tavsiye edilir:

  1. Kod denetimleri ve itibar kontrolleri de dahil olmak üzere, kurulumdan önce uzantıları kapsamlı bir şekilde inceleyin.
  2. Uzantı izinlerini yalnızca gerekli olanlarla sınırlandırarak katı erişim kontrolleri uygulayın.
  3. Geliştirme ortamlarındaki olası güvenlik tehditleri hakkında bilgi sahibi olun.

Siber güvenlik uzmanları, kullanıcıları korumak için Microsoft VS Code Marketplace’e yönelik kötü amaçlı uzantıyı bildirdi.

VS Code gibi IDE’ler geliştiriciler için temel araçlar olmaya devam ettikçe, hassas verileri korumak ve yazılım geliştirme süreçlerinin bütünlüğünü korumak için dikkatli olmak ve güçlü güvenlik uygulamaları uygulamak giderek daha önemli hale geliyor.

Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri



Source link