Yazılım tedarik zinciri güvenliği alanında faaliyet gösteren ReversingLabs, Visual Studio Code (VS Code) uzantılarında silinen isimlerin kötü niyetli aktörler tarafından yeniden kullanılmasına olanak tanıyan önemli bir güvenlik açığını ortaya çıkardı. Mart ayında tespit edilen “ahban.shiba” ve “ahban.cychelloworld” uzantılarına benzer şekilde çalışan “ahbanC.shiba” adlı kötü amaçlı uzantı, Windows ortamında dosyaları şifreleyen ve kurbanları Shiba Inu tokeni yatırmaya yönlendiren karmaşık bir PowerShell yükü indiriyor.
Uzantı İsimlendirme Kurallarındaki Zayıflık
VS Code uzantılarının benzersizliği, yayıncı adı ve uzantı adının birleşiminden oluşan kimlikle sağlanırken, uzantı manifestosundaki name alanının küçük harf ve boşluksuz olması ve Marketplace’te eşsiz olması gerekiyor. Ancak ReversingLabs’ın incelemesine göre, silinen uzantı isimlerinin yeniden kullanımı mümkün hale gelerek, aynı adı taşıyan farklı uzantıların varlığına izin veriliyor. Bu durum, özellikle popüler ve yaygın kullanılan uzantıların kaldırılması halinde, kötü niyetli aktörlerin bu isimleri ele geçirip kullanıcıları hedef almasına zemin hazırlıyor.
PyPI Paket İndeksi ile Paralellik
Benzer bir durum Python Paket İndeksi (PyPI) üzerinde de gözlemlenmiş; silinen paket isimleri, dağıtım dosyası adları farklı olduğu sürece başka kullanıcılar tarafından yeniden alınabiliyor. Ancak PyPI, kötü amaçlı paketlerin isimlerini kullanılamaz hale getirebilme yetkisine sahipken, VS Code Marketplace bu tür bir kısıtlama uygulamıyor. Bu eksiklik, yazılım tedarik zinciri saldırılarının artmasına ve açık kaynak ekosistemlerinin hedef alınmasına neden oluyor.
Tehdit Aktörlerinin Karmaşık Saldırıları
ReversingLabs’ın raporuna göre, Black Basta gibi fidye yazılım gruplarının sohbet kayıtlarında da görüldüğü üzere, tehdit aktörleri açık kaynak kayıtlarını zehirleyerek, kurbanların kötü amaçlı uzantıları yüklemesini sağlıyor. Ayrıca, npm paketlerinde tespit edilen sekiz kötü amaçlı paket, karmaşık çok katmanlı kod yapısı ile veri hırsızlığı ve dışa aktarımı gerçekleştiriyor. Bu paketler, Windows sistemlerinde şifreler, kredi kartları ve kripto cüzdan verilerini hedef alıyor.
Güvenlik Uzmanlarından Öneriler
JFrog güvenlik araştırmacısı Guy Korolevski, açık kaynak yazılım depolarının tedarik zinciri saldırılarında ana giriş noktalarından biri haline geldiğini belirterek, tüm yazılım bileşenleri için sıkı otomatik taramalar ve tek bir doğruluk kaynağına sahip olmanın önemini vurguladı. ReversingLabs güvenlik araştırmacısı Lucija Valentić ise, kaldırılan uzantı isimlerinin yeniden kullanılabilir olmasının yeni bir tehdit oluşturduğunu ve bu durumun yazılım tedarik zinciri güvenliği için ciddi riskler barındırdığını ifade etti.