Kuzey Koreli Hackerlar VS Code Görev Dosyalarını Zararlı Yazılım Yaymak İçin Kullanıyor

Anasayfa » Kuzey Koreli Hackerlar VS Code Görev Dosyalarını Zararlı Yazılım Yaymak İçin Kullanıyor
APT, Saldırı Teknikleri, Zararlı Yazılım
Mart 27, 2026Mart 27, 2026Tarafından Cybernews.TR
0
Kuzey Koreli Hackerlar VS Code Görev Dosyalarını Zararlı Yazılım Yaymak İçin Kullanıyor

Yapılan son analizler, Kuzey Koreli hackerların Visual Studio Code (VS Code) geliştirme ortamlarında bulunan tasks.json dosyasını kötüye kullanarak StoatWaffle zararlısını yaydığını ortaya koydu. Bu yöntem, Aralık 2023’ten beri gözlemlenen nispeten yeni bir saldırı taktiği olarak öne çıkıyor.

Saldırı Zinciri ve Teknik Detaylar

StoatWaffle zararlısı, VS Code’un otomatik görev çalıştırma mekanizmasını hedef alıyor. tasks.json dosyasına kötü amaçlı komutlar eklenerek, geliştiricilerin kod yazarken veya derleme yaparken zararlı otomatik olarak tetikleniyor. Bu sayede, zararlı yazılım doğrudan geliştirme ortamına sızıyor ve yayılıyor.

Tehdit aktörleri, bu yöntemi kullanarak özellikle yazılım geliştirme ekiplerini ve bulut tabanlı CI/CD süreçlerini hedef alıyor. Saldırılar genellikle kimlik avı e-postaları veya tedarik zinciri saldırıları yoluyla başlatılıyor. Ayrıca, AsyncRAT gibi uzaktan erişim araçları ve MCP istemcisi gibi araçlar da zararlının yayılmasında rol oynayabiliyor.

Hangi Sistemler Risk Altında?

Bu saldırı, özellikle VS Code kullanan yazılım geliştirme ekipleri ve bulut ortamlarında çalışan CI/CD pipeline’ları için büyük risk oluşturuyor. Ayrıca, konteyner tabanlı uygulama geliştiren firmalar, rastgele açılan SSH portları ve yetersiz ağ segmentasyonu nedeniyle daha savunmasız hale geliyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler

  • VS Code ve ilgili eklentilerin düzenli olarak güncellenmesi ve güvenlik yamalarının uygulanması.
  • tasks.json dosyasının içerik değişikliklerinin SIEM sistemleriyle izlenmesi.
  • EDR çözümleri ile şüpheli otomatik görevlerin tespiti ve engellenmesi.
  • Bulut ortamlarında IAM politikalarının sıkılaştırılması ve gereksiz izinlerin kaldırılması.
  • Phishing saldırılarına karşı e-posta güvenliği önlemlerinin artırılması.
  • Ağ segmentasyonu ile geliştirme ortamlarının kritik altyapılardan ayrılması.
  • Olay müdahale (incident response) planlarının güncellenmesi ve bu tür saldırılara karşı tatbikatların yapılması.
  • Geliştiricilere güvenlik farkındalığı eğitimi verilmesi.

Teknik Özet

  • Kullanılan zararlı: StoatWaffle
  • Hedef sektörler: Yazılım geliştirme ekipleri, bulut hizmet sağlayıcıları
  • Kullanılan zafiyetler: VS Code otomatik görev mekanizması (tasks.json) suiistimali
  • Saldırı zinciri: Kimlik avı veya tedarik zinciri saldırısı → Zararlı tasks.json dosyasının yüklenmesi → AsyncRAT ve MCP istemcisi ile uzaktan kontrol
  • Önerilen savunma: Güvenlik yamalarının uygulanması, EDR ve SIEM entegrasyonu, MFA, ağ segmentasyonu ve IAM politikalarının sıkılaştırılması

Bu gelişmeler, yazılım geliştirme ortamlarının güvenliğinin sadece kod kalitesi değil, aynı zamanda altyapı ve otomasyon dosyalarının da korunması gerektiğini gösteriyor. Özellikle bulut güvenliği ve e-posta güvenliği alanlarında alınacak önlemler, bu tür saldırıların önüne geçilmesinde kritik rol oynuyor.

, , , , , , ,