SleepyDuck VSX Uzantısı: Ethereum Tabanlı Komut ve Kontrol Altyapısıyla Gelişmiş Bir Tehdit

Kasım 3, 2025Kasım 3, 2025Tarafından Cybernews.TR

Secure Annex’ten John Tuckner’ın analizine göre, SleepyDuck adlı kötü amaçlı Visual Studio Code uzantısı, juan-bianco.solidity-vlang (v0.0.7) olarak 31 Ekim 2025’te zararsız bir kütüphane şeklinde yayımlandı. Ancak 1 Kasım’da 0.0.8 sürümüne yükseltilmesiyle birlikte, Ethereum tabanlı gelişmiş komut ve kontrol (C2) mekanizmaları içeren kötü amaçlı işlevler kazandı.

Ethereum Sözleşmesi ile Komut ve Kontrol

Uzantı, sandbox atlatma teknikleri kullanarak, orijinal C2 adresi kapatıldığında Ethereum blockchain üzerindeki akıllı sözleşme (0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465) üzerinden yeni komut ve kontrol sunucusu bilgilerini dinamik olarak çekebiliyor. “sleepyduck[.]xyz” adresindeki uzak sunucu ile her 30 saniyede bir sorgulama yaparak yeni komutları kontrol eden bir döngü başlatıyor. Bu yapı, MCP istemcilerinde görülen sürekli bağlantı ve komut alma mantığına benzer şekilde çalışıyor.

Gelişmiş Sistem Bilgisi Toplama ve Yedekleme Mekanizmaları

Kötü amaçlı yazılım, ana bilgisayar adı, kullanıcı adı, MAC adresi ve zaman dilimi gibi sistem bilgilerini toplayıp C2 sunucusuna gönderiyor. Ayrıca, alan adı ele geçirilirse veya kapatılırsa, önceden tanımlanmış Ethereum RPC adreslerinden sözleşme bilgilerini çekerek yedek kontrol mekanizmalarını devreye alıyor. Bu yedekleme, AsyncRAT gibi gelişmiş uzaktan erişim araçlarında kullanılan dayanıklılık tekniklerine benzer şekilde tasarlanmış.

Uzantının Tetiklenme ve Yayılma Yöntemleri

Uzantı, yeni bir kod editörü penceresi açıldığında veya bir .sol dosyası seçildiğinde aktif hale geliyor. Bu tetikleme yöntemi, hedeflenen Solidity geliştiricilerinin çalışma alışkanlıklarına uygun şekilde optimize edilmiş. Ayrıca, indirme sayılarının yapay olarak şişirilmesi, geliştiricilerin sahte kütüphaneleri yüklemesini sağlamak için kullanılan yaygın bir sosyal mühendislik taktiği olarak dikkat çekiyor.

İlgili Diğer Tehditler ve Güvenlik Önlemleri

Secure Annex, “developmentinc” adlı kullanıcı tarafından yayımlanan ve dış sunucudan Monero madencisi indiren beş farklı kötü amaçlı uzantıyı da tespit etti. Bu uzantılar, PowerShell üzerinden yönetici ayrıcalıklarıyla kendini yeniden başlatıp Microsoft Defender hariç tutmaları ekleyerek, “mock1[.]su” adresinden madencilik yürütülebilir dosyasını indirip çalıştırıyor. Bu tür saldırılar, konteynerlerde rastgele SSH portları açarak lateral hareket kabiliyeti kazanan tehdit aktörlerine benzer teknikler kullanıyor.

Kullanıcıların, uzantıları yalnızca güvenilir ve doğrulanmış kaynaklardan indirmeleri önem taşıyor. Microsoft, Haziran 2025 itibarıyla pazar yerlerinde periyodik kötü amaçlı yazılım taramaları başlatarak, zararlı uzantıların tespiti ve kaldırılması için önlemler alıyor. Kaldırılan uzantılar GitHub’daki RemovedPackages sayfasından takip edilebiliyor.

Blockchain Güvenliği, Ethereum, Komut ve Kontrol, kötü amaçlı yazılım, Monero Madenciliği, SleepyDuck, Solidity, Visual Studio Code

Daha fazla gönderi

Aralık 25, 2025Aralık 25, 2025

MacSync macOS Hırsızı: İmzalı Uygulama ile Gatekeeper Koruması Aşılıyor

Yeni MacSync varyantı, Apple Gatekeeper ve XProtect gibi yerleşik macOS güvenlik önlemlerini aşmak için dijital olarak imzalanmış ve noter onaylı Swift tabanlı bir yükleyici kullanıyor. Bu gelişme, macOS ortamlarında kötü amaçlı yazılım dağıtımında imzalı dosyaların artan kullanımını gösteriyor ve sistem yöneticileri için yeni savunma stratejileri gerektiriyor.

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

14,6 Milyon Dolarlık Banka Hesabı Ele Geçirme Operasyonunda Kritik Alan Adı Kapatıldı

ABD ve Estonya yetkililerinin ortak operasyonuyla, banka hesap bilgilerini yasa dışı toplayan ve manipüle eden web3adspanels.org alan adı ele geçirildi. Bu dolandırıcılık kampanyası, sahte reklamlar ve kötü amaçlı yazılımlar aracılığıyla 19 kurbanın yaklaşık 14,6 milyon dolar kaybetmesine yol açtı. Siber güvenlik uzmanları, benzer saldırılara karşı çok katmanlı savunma ve dikkatli kullanıcı davran

Daha Fazla Oku

Aralık 20, 2025Aralık 20, 2025

GhostPoster Kampanyası: 17 Firefox Eklentisinde Gizlenen Çok Aşamalı Kötü Amaçlı Yazılım

GhostPoster zararlısı, 50.000'den fazla indirme alan 17 farklı Firefox eklentisinde tespit edildi. Kötü amaçlı yazılım, bağlı kuruluş bağlantılarını ele geçirmek, izleme kodu enjekte etmek ve reklam dolandırıcılığı yapmak için çok aşamalı bir saldırı zinciri kullanıyor. Siber güvenlik ekipleri için bu tehdit, tarayıcı eklentilerinde gizlenen karmaşık saldırı teknikleri ve uzun gecikmeli etkinleşme

Daha Fazla Oku

Aralık 12, 2025Aralık 12, 2025

Geliştiricileri Hedef Alan Kötü Amaçlı VS Code Uzantıları ve Paketler: Teknik Detaylar ve Korunma Yolları

Son analizler, VS Code uzantıları ve popüler yazılım paket yöneticilerinde geliştirici verilerini çalan kötü amaçlı yazılımların tespit edildiğini ortaya koyuyor. Bu zararlılar, ekran görüntüleri, WiFi şifreleri ve tarayıcı oturum bilgileri gibi hassas verileri ele geçirerek uzak sunuculara aktarıyor. Siber güvenlik profesyonelleri için saldırı zinciri ve savunma önerileri kritik önem taşıyor.

Daha Fazla Oku

P	S	Ç	P	C	C	P
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31