Siber güvenlik araştırmacıları, ‘GlassWorm’ adlı zararlı yazılımın Visual Studio Code eklentilerine yeniden sızdığını açıkladı. Koi Security’nin raporuna göre saldırganlar bu kez üç farklı eklentiyi kullanarak geliştiricileri hedef aldı. İşte detaylar…
Visual Studio Code‘daki tehlikeli eklentiler arasında ‘ai-driven-dev.ai-driven-dev’, ‘adhamu.history-in-sublime-merge’ ve ‘yasuyuky.transient-emacs’ yer alıyor. Üçü toplamda on binlerce kez indirilmiş durumda. Bu eklentiler kullanıcıların GitHub ve Open VSX hesap bilgilerini çalıyor, 49 farklı kripto cüzdanına erişim sağlıyor ve uzaktan bağlantıyı aktif hale getiriyor.
GlassWorm’un dikkat çekici yönü ise zararlı kodlarını görünmez Unicode karakterleriyle gizlemesi. Bu sayede antivirüs yazılımlarını atlatabiliyor ve bulaştığı sistemlerden başka eklentilere de yayılabiliyor. Kısacası kendi kendini kopyalayan bir yapıya sahip.
Open VSX yetkilileri 21 Ekim’de yaptıkları açıklamada virüslü eklentilerin kaldırıldığını ve erişim anahtarlarının iptal edildiğini duyurdu. Ancak Koi Security’nin raporu saldırının yeniden başladığını gösteriyor. Bilgisayar korsanları solana blok zinciri üzerinden yeni bir komut sunucusu bağlantısı paylaşarak sistemi tekrar etkin hale getirdi.
Araştırmacılar saldırının arkasında Rusya merkezli bir grubun olduğunu belirtiyor. Ayrıca sızan veriler arasında ABD, Avrupa, Asya ve Orta Doğu’dan birçok kurumun yer aldığı bildirildi. Üstelik bunlar arasında bir devlet birimi de bulunuyor.
