Wiz güvenlik araştırmacıları, VS Code Marketplace ve Open VSX platformlarında kullanılan kişisel erişim belirteçlerinin (PAT) sızdırılmasıyla, saldırganların kötü amaçlı eklenti güncellemelerini doğrudan yüz binlerce kullanıcıya dağıtabileceğini ortaya koydu. Toplamda 500’den fazla eklentide, 67 farklı türde 550’den fazla gizli bilgi tespit edildi; bunlar arasında AI sağlayıcıları, bulut hizmetleri ve veritabanı erişim bilgileri yer alıyor.
Özellikle 100’den fazla eklentinin VS Code Marketplace PAT’lerini sızdırdığı ve bunun 85.000’den fazla kurulumla sonuçlandığı, ayrıca 30’dan fazla eklentinin Open VSX erişim belirteçlerini sızdırdığı ve 100.000’in üzerinde kurulumla ilişkilendirildiği bildirildi. Bu durum, temalar gibi yaygın eklentilerin bile ciddi bir saldırı yüzeyi oluşturduğunu gösteriyor.
TigerJack Tehdit Aktörü ve Kötü Amaçlı Eklentiler
Koi Security, TigerJack adlı tehdit aktörünün 2025 başından itibaren en az 11 kötü amaçlı VS Code eklentisi yayınladığını açıkladı. Bu eklentiler, kaynak kodu çalma, kripto para madenciliği ve uzak arka kapılar kurma gibi işlevlerle donatılmış. Örneğin, C++ Playground eklentisi gerçek zamanlı tuş vuruşlarını yakalarken, HTTP Format eklentisi CoinIMP madencisini çalıştırıyor. Tehdit aktörü, dinamik olarak yeni kötü amaçlı kodlar indirip çalıştırarak saldırılarını sürekli güncelliyor.
Microsoft’un Yanıtı ve Güvenlik Önerileri
Microsoft, Mart 2025’te sorumlu açıklama yaparak sızdırılan PAT’leri iptal etti ve gizli bilgi tarama özellikleri ekleyeceğini duyurdu. Ancak, Open VSX gibi alternatif platformlar için benzer korumalar henüz bulunmuyor. Kullanıcılara eklenti sayısını sınırlamaları, güncellemeleri dikkatle yönetmeleri ve kuruluşlara merkezi eklenti envanteri oluşturmaları öneriliyor. Bu olay, tedarik zinciri güvenliğinin önemini ve paket depolarındaki kitlesel gizli bilgi sızıntısı risklerini bir kez daha gözler önüne seriyor.