Siber Güvenlik, Tehdit Analizi, Yazılım Güvenliği

GlassWorm: VS Code Eklentilerini Hedefleyen Gelişmiş Tedarik Zinciri Saldırısı

Ekim 24, 2025Ekim 25, 2025Tarafından Ai Administrator

Koi Security tarafından tespit edilen GlassWorm adlı gelişmiş tehdit, Eylül 2025’te npm ekosistemini hedef alan Shai-Hulud solucanından sonra, sadece bir ay içinde DevOps dünyasında ikinci büyük tedarik zinciri saldırısı olarak öne çıkıyor. Bu saldırı, komut ve kontrol (C2) altyapısı için Solana blok zincirini kullanarak, geleneksel kapatma yöntemlerine karşı yüksek direnç sağlıyor. Ayrıca, Google Takvim platformu yedek C2 mekanizması olarak görev yapıyor.

Unicode Varyasyon Seçicileri ile Gizlenen Zararlı Kod

GlassWorm kampanyasının teknik yeniliği, zararlı kodun görünmez Unicode karakterleriyle kod editörlerinde fark edilmeden saklanmasıdır. Teknik raporunu sunan Idan Dardikman, saldırganların Unicode varyasyon seçicilerini kullandığını, bu karakterlerin görsel çıktı üretmeden kodu gizlediğini belirtiyor. Bu yöntem, özellikle MCP istemcileri ve Pydantic AI gibi gelişmiş analiz araçlarının tespit yeteneklerini aşmak için kullanılıyor.

Enfekte Edilen VS Code Eklentileri ve Yayılım Mekanizması

GlassWorm, npm, Open VSX ve Microsoft Extension Marketplace’teki toplam 14 eklentiyi hedef aldı ve yaklaşık 35.800 kez indirildi. İlk enfeksiyon dalgası 17 Ekim 2025’te gerçekleşti. Enfekte eklentiler, kimlik bilgileri ve kripto para cüzdanı verilerini çalmakla kalmayıp, geliştirici makinelerini SOCKS proxy sunucularına dönüştürerek, WebRTC tabanlı eşler arası iletişim ve BitTorrent’in Dağıtık Hash Tablosu (DHT) ile merkezi olmayan komut dağıtımı sağlıyor. Ayrıca, HVNC modülü sayesinde uzaktan gizli erişim imkanı sunuyor.

Blok Zinciri Tabanlı Komut ve Kontrol Altyapısı

Zararlı kod, Solana blok zincirinde saldırgan kontrolündeki bir cüzdana ait işlemleri tarıyor ve memo alanından Base64 kodlu komutları çıkarıyor. Bu komutlar, sonraki aşama yüklerini almak için “217.69.3[.]218” ve “199.247.10[.]166” IP adreslerindeki C2 sunucularına yönlendiriyor. Yük, kimlik doğrulama tokenları ve kripto cüzdanı verilerini çalan gelişmiş bir bilgi hırsızı içeriyor. Veriler, tehdit aktörlerinin kontrolündeki “140.82.52[.]31:80” adresine aktarılıyor.

Otomatik Güncellemelerle Hızlanan Yayılım

VS Code eklentilerinin otomatik güncelleme özelliği, GlassWorm’un kullanıcı müdahalesi olmadan yayılmasını kolaylaştırıyor. Bu durum, saldırının sadece tek seferlik bir tedarik zinciri saldırısı olmadığını, aynı zamanda otonom şekilde yayılan bir solucan olarak tasarlandığını gösteriyor. Saldırganlar, konteynerlerde rastgele açılan SSH portları ve AsyncRAT benzeri modüllerle tam kontrol sağlıyor ve böylece yazılım geliştirme ekosisteminde sürdürülebilir kötü amaçlı yazılım yayılımı gerçekleştiriyorlar.

Bu gelişme, blok zinciri tabanlı kötü amaçlı yazılım altyapılarının artan kullanımı ve Kuzey Koreli tehdit aktörlerinin de benzer teknikleri casusluk ve finansal amaçlı operasyonlarında kullanmasıyla paralel ilerliyor.

Bilgi Hırsızı, GlassWorm, HVNC, Komut ve Kontrol, SOCKS Proxy, Solana Blok Zinciri, tedarik zinciri saldırısı, VS Code Eklentileri

Daha fazla gönderi

Ekim 24, 2025Ekim 25, 2025

GlassWorm: VS Code Eklentilerini Hedefleyen Gelişmiş Tedarik Zinciri Saldırısı

GlassWorm, VS Code eklentilerini hedef alan gelişmiş bir tedarik zinciri saldırısıdır ve Solana blok zinciri ile Google Takvim üzerinden dayanıklı bir komut kontrol altyapısı kullanır. Unicode varyasyon seçicileriyle görünmez zararlı kod yayar, kimlik bilgileri ve kripto cüzdanlarını çalar, ayrıca JavaScript tabanlı Zombi modülüyle tam kontrol sağlar. Bu saldırı, otomatik güncellemeler sayesinde k

Daha Fazla Oku

Ekim 14, 2025Ekim 25, 2025

npm, PyPI ve RubyGems Paketlerinde Discord Webhooklarıyla Veri Sızıntısı ve Kuzey Koreli Tehdit Aktörlerinin Sahte Paket Operasyonu

Discord webhook'ları, npm, PyPI ve RubyGems paketlerinde geliştirici yapılandırma dosyalarını ve hassas bilgileri sızdırmak için kullanılıyor. Ayrıca, Kuzey Kore destekli tehdit aktörleri Contagious Interview kampanyasıyla yüzlerce sahte npm paketi aracılığıyla Web3 ve teknik sektör geliştiricilerini hedef alıyor. Bu durum, tedarik zinciri saldırılarının ekonomik ve teknik boyutlarını yeniden şekillendiriyor.

Daha Fazla Oku

Ekim 08, 2025Ekim 25, 2025

Detour Dog, Strela Stealer İçin DNS Tabanlı Kötü Amaçlı Yazılım Altyapısı İşletirken Yakalandı

Detour Dog adlı tehdit aktörü, Strela Stealer bilgi hırsızını dağıtmak için DNS tabanlı bir komut ve kontrol altyapısı kurdu. Bu altyapı, ele geçirilmiş WordPress siteleri üzerinden DNS TXT kayıtları aracılığıyla komutlar alıyor ve StarFish adlı ters kabuk arka kapıyı kullanıyor. Infoblox ve Shadowserver Foundation iş birliğiyle yapılan operasyonlarla bazı C2 domainleri etkisiz hale getirildi.

Daha Fazla Oku

Ekim 07, 2025Ekim 25, 2025

Python Geliştiricilerini Hedefleyen SilentSync RAT İçeren İki Kötü Amaçlı PyPI Paketi Ortaya Çıktı

Zscaler araştırmacıları, Python geliştiricilerini hedefleyen sisaws ve secmeasure adlı iki kötü amaçlı PyPI paketinde SilentSync RAT'ı tespit etti. Bu RAT, uzaktan komut yürütme, dosya sızdırma ve tarayıcı verilerini çalma gibi gelişmiş yeteneklere sahip olup, Windows, Linux ve macOS sistemlerini hedefliyor. Paketler, tedarik zinciri saldırılarının artan riskine dikkat çekiyor.

Daha Fazla Oku