GlassWorm v2 Zararlısı: 73 Sahte VS Code Eklentisiyle Yayılıyor

Saldırının Genel Çerçevesi

GlassWorm v2 zararlısı, geliştiricilere yönelik sahte Visual Studio Code (VS Code) eklentileri aracılığıyla yayılıyor. Toplamda 73 farklı eklenti klonlanarak, meşru eklentilerin görünümü verilmiş. Bu eklentilerden altısının zararlı olduğu kesinleşirken, diğerleri ise arka planda veri toplama ve komut alma işlevleriyle gizli tehdit oluşturuyor.

Bu kampanya, özellikle yazılım geliştirme ortamlarını hedef alıyor ve dünya genelinde yaygın olarak kullanılan VS Code kullanıcılarını etkiliyor. Zararlının bulaşma yöntemi, sahte eklentilerin VS Code Marketplace veya üçüncü taraf kaynaklar üzerinden indirilmesiyle gerçekleşiyor.

Saldırı Zinciri ve Teknik Detaylar

GlassWorm v2’nin saldırı zinciri aşağıdaki adımlardan oluşuyor:

• Başlangıç: Kullanıcıların sahte VS Code eklentilerini yüklemesi.
• Yürütme: Zararlı kodun arka planda çalışması, MCP istemcisi ve AsyncRAT benzeri araçlarla komut kontrolü sağlanması.
• İletişim: Zararlının C2 sunucularıyla iletişim kurması, rastgele SSH portları üzerinden bağlantı kurma denemeleri.
• Veri Toplama: Geliştirici ortamındaki hassas bilgilerin, API anahtarları ve kimlik bilgileri gibi verilerin toplanması.

MITRE ATT&CK matrisi kapsamında, bu saldırı Initial Access (T1190), Execution (T1059) ve Command and Control (T1071) tekniklerini içeriyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

• VS Code eklentilerinin yalnızca resmi Marketplace üzerinden ve doğrulanmış geliştiricilerden indirilmesini sağlayın.
• EDR çözümlerinde sahte eklentilere karşı özel imza ve davranış tabanlı tespit kuralları oluşturun.
• SIEM sistemlerinde VS Code eklenti yükleme ve güncelleme loglarını düzenli olarak izleyin.
• Geliştirici makinelerinde IAM politikaları ile gereksiz yetkileri kısıtlayın ve MFA uygulayın.
• Ağ segmentasyonu ile geliştirici ortamlarını kritik altyapıdan izole edin.
• Olay müdahale planlarında sahte eklenti kaynaklı ihlaller için senaryolar hazırlayın.
• Güncel antivirüs ve zararlı yazılım analiz araçları ile düzenli taramalar yapın.
• Geliştiricilere e-posta güvenliği ve sosyal mühendislik saldırılarına karşı farkındalık eğitimi verin.

Kurumsal Ortamlarda Olası Senaryo

Bir finans kurumunda çalışan geliştiriciler, sahte GlassWorm v2 eklentisini yüklediğinde, zararlı arka planda API anahtarlarını ve kimlik bilgilerini ele geçiriyor. Bu bilgilerle saldırganlar, bulut güvenliği açıklarından faydalanarak kritik verilere erişim sağlıyor. Sonuç olarak, kurumun ağ segmentasyonu ve IAM politikalarının zayıf olması nedeniyle fidye yazılımı saldırısı riski artıyor.

Alınabilecek Önlemler

Bu tür tehditlere karşı temel savunma stratejileri arasında yazılım tedarik zinciri güvenliği, düzenli yama yönetimi, çok faktörlü kimlik doğrulama (MFA) ve kapsamlı log yönetimi yer alıyor. Ayrıca, geliştirici ortamlarının izole edilmesi ve güvenlik politikalarının sıkılaştırılması, saldırının yayılmasını engellemede kritik rol oynuyor.