Son analizler, npm ve Go paket ekosistemlerinde tespit edilen saldırıların, kötü amaçlı yazılımın Visual Studio Code (VS Code) otomatik görevleri aracılığıyla yayılmasını sağladığını gösteriyor. Mayıs 2026’da ortaya çıkan bu saldırı zinciri, özellikle yazılım geliştiricileri ve teknik personeli hedef alıyor.
Saldırı Zincirinde Yenilikçi Yöntemler
Kötü niyetli paketler, npm’in geleneksel yaşam döngüsü komutlarını atlayarak, VS Code’un klasör açma işlemiyle tetiklenen otomatik görevlerini kullanıyor. Böylece, geliştiriciler projelerini açtığında arka planda zararlı kod çalıştırılıyor. Bu görevler, JavaScript kodunu blok zinciri verilerinden şifreli şekilde indiriyor, saldırgan kontrolündeki sunuculara bağlanıyor ve socket.io tabanlı bir arka kapı açıyor. Son aşamada ise Python ile yazılmış bir bilgi hırsızı devreye giriyor.
Saldırganların kullandığı npm paketlerinden biri “html-to-gutenberg”, diğeri ise onu bağımlılık olarak gösteren “fetch-page-assets” adlı paket. Bu paketler Mayıs ayında yüklenmiş, ardından npm kayıtlarından kaldırılmış. Ancak etkilenmiş geliştiricilerin makinelerinde hâlâ gizli VS Code görevleri bulunabiliyor.
Python Bilgi Hırsızı ve Arka Kapı Detayları
Python bileşeni, kripto cüzdanlar, tarayıcı kimlik bilgileri, parola yöneticileri ve geliştirici araçlarından veri çalmak üzere tasarlanmış. Chromium ve Firefox tabanlı tarayıcılar, Windows Credential Manager, Linux Secret Service ve macOS Keychain gibi çeşitli sistemlerde depolanan veriler hedefleniyor. Ayrıca GitHub CLI, VS Code depolama alanları ve popüler bulut servislerinin (Dropbox, Google Drive, Apple iCloud gibi) meta verileri de ele geçirilebiliyor.
Toplanan bilgiler şifrelenip ZIP arşivlere dönüştürülüyor, ardından hem komuta-komuta sunucusuna hem de saldırgan tarafından sağlanan Telegram botuna gönderiliyor. Bu yöntem veri sızıntısını gizli ve otomatik hale getiriyor.
Go Paketleri ve Genişleyen Tehdit
Benzer bir kötü amaçlı yazılım, Go dilinde geliştirilen en az 16 pakette de keşfedildi. Bu paketlerin çoğu orijinal işlevlerini korurken, aynı zararlıyı gizlenmiş şekilde barındırıyor. Paketlerin isimleri arasında “lambda-platform” ve “glacialspring” gibi adlar bulunuyor. Bu durum, saldırganların geniş bir geliştirici kitlesine erişim sağlamaya çalıştığını gösteriyor.
Kimler Risk Altında ve Ne Yapmalı?
Bu kampanya, npm ve Go paketlerini kullanan yazılım geliştiriciler ile teknik ekipleri doğrudan etkiliyor. Saldırı, özellikle VS Code kullananlar için kritik bir tehdit oluşturuyor çünkü otomatik çalışan görevler, fark edilmeden zararlı kodu yayabiliyor. Bu nedenle geliştiricilerin sistemlerinde gizli VS Code görevlerini kontrol etmeleri, şüpheli paketleri acilen kaldırmaları gerekiyor.
Ayrıca, API anahtarları, tokenlar, bulut kimlik bilgileri ve tarayıcıda saklanan şifreler gibi hassas veriler mutlaka yenilenmeli. Kurumsal ortamlar da olay müdahale (incident response) ve ağ segmentasyonu uygulamalarını gözden geçirmeli; e-posta güvenliği ve bulut güvenliği politikalarını güçlendirmeli.
Teknik Özette Öne Çıkanlar
- Zararlı yazılım, npm v12 güvenlik önlemlerini aşmak için VS Code’un “runOn: ‘folderOpen'” görevini kullanıyor.
- JavaScript kodu, blok zinciri verileri (TronGrid, Aptos) üzerinden aşamalı olarak indiriliyor.
- Socket.io arka kapısı, komut yürütme, dosya yönetimi ve clipboard toplama gibi işlevlere sahip.
- Python bileşeni, çok sayıda kimlik bilgisi ve kripto cüzdan bilgisini hedef alıyor.
- Go paketlerinde de aynı zararlı varyantı taşıyan 16 farklı paket bulundu.
- Önerilen savunma yöntemleri arasında sürekli izleme (EDR), güvenlik yamalarının zamanında uygulanması, MFA, ağ segmentasyonu ve gizli görevlerin kontrolü yer alıyor.
Bu saldırı, yazılım geliştirme süreçlerine yönelik yeni bir tehdit vektörü olarak öne çıkıyor. Geliştiricilerin ve güvenlik ekiplerinin, paket yönetim araçları ve geliştirme ortamları üzerindeki kontrollerini sıkılaştırmaları şart.