Geçtiğimiz aylarda Koi Security tarafından ortaya çıkarılan GlassWorm zararlısı, Open VSX ve Microsoft Extension Marketplace üzerinde yayılan üç Visual Studio Code (VS Code) eklentisinde tespit edildi. Söz konusu eklentiler hâlâ indirilebilir durumda olup, ai-driven-dev.ai-driven-dev (3.402 indirme), adhamu.history-in-sublime-merge (4.057 indirme) ve yasuyuky.transient-emacs (2.431 indirme) olarak listeleniyor.
GlassWorm’un Teknik Yapısı ve Yayılma Mekanizması
GlassWorm, görünmez Unicode karakterleri kullanarak kod editörlerinde kötü amaçlı kodu ustaca gizleyen gelişmiş bir zararlı yazılım. Bu teknik, kodun insan gözüyle fark edilmesini zorlaştırırken, zararlının kimlik bilgilerini çalmasını ve ek eklentileri ele geçirerek kendini çoğaltmasını sağlıyor. Böylece, klasik bir solucan (worm) gibi ağ içinde yayılım gösteriyor.
Zararlının arka planında, Open VSX Kaydı ve Microsoft Extension Marketplace üzerinden ele geçirilen VS Code eklentileri aracılığıyla Open VSX, GitHub ve Git kimlik bilgileri toplanıyor. Bu kimlik bilgilerinin kullanımıyla 49 farklı kripto para cüzdanı eklentisinden fon çekiliyor ve uzaktan erişim için AsyncRAT benzeri ek araçlar bırakılıyor. MCP istemcisi benzeri modüler yapılarla komut ve kontrol (C2) altyapısı yönetiliyor.
Komut ve Kontrol Altyapısında Blockchain Dayanıklılığı
Open VSX, 21 Ekim 2025 itibarıyla zararlı eklentileri tespit edip kaldırdığını ve ilgili tokenları iptal ettiğini duyurdu. Ancak Koi Security’nin son raporu, saldırganların görünmez Unicode karakter gizleme yöntemini kullanarak saldırıyı ikinci kez başlattığını gösteriyor. Araştırmacılar Idan Dardikman, Yuval Ronen ve Lotan Sery, saldırganların Solana blok zinciri üzerinde yeni işlemler göndererek güncellenmiş bir C2 uç noktası sağladığını belirtti. Bu yöntem, yük sunucuları kapatılsa bile saldırganın düşük maliyetle yeni bir işlem gönderip enfekte makinelerin otomatik olarak yeni konumu almasını sağlıyor.
Bu blockchain tabanlı C2 altyapısı, zararlının dayanıklılığını artırırken, konteyner ortamlarında rastgele SSH portları kullanarak tespit edilmesini zorlaştırıyor. Ayrıca, Pydantic AI gibi yapay zeka destekli analiz araçlarıyla zararlının davranışları inceleniyor ve anomali tespiti yapılıyor.
Mağdurlar ve Saldırganın Altyapısı
Güvenlik firması, saldırganın sunucusunda yanlışlıkla açığa çıkan bir uç nokta sayesinde ABD, Güney Amerika, Avrupa, Asya ve Orta Doğu’dan büyük bir devlet kurumunu da içeren mağdurların kısmi listesini ortaya çıkardı. Derin analizlerde, saldırganın kendi makinesinden olduğu düşünülen keylogger verileri bulundu. Bu da GlassWorm’un kökenine dair önemli ipuçları sunuyor. Tehdit aktörünün Rusça konuştuğu ve altyapısında açık kaynaklı RedExt adlı tarayıcı eklentisi tabanlı C2 çerçevesini kullandığı değerlendiriliyor.
Koi Security, kimlik bilgileri toplanan gerçek organizasyonlar ve kişilerin makinelerinin suçlu vekil altyapısı olarak kullanılabileceğini ve dahili ağlarının zaten ele geçirilmiş olabileceğini belirtiyor. Bu durum, saldırının sadece bireysel kullanıcıları değil, kurumsal ağları da hedef aldığını gösteriyor.
GitHub Hedefi ve Kötü Amaçlı Commitler
Son olarak, Aikido Security tarafından yayımlanan rapor, GlassWorm’un hedefini GitHub’a genişlettiğini ve ele geçirilen GitHub kimlik bilgilerinin kötü amaçlı commitler yapmak için kullanıldığını ortaya koydu. Bu durum, zararlının yazılım tedarik zincirine yönelik saldırı kapasitesini artırıyor ve yazılım geliştirme süreçlerinde ciddi güvenlik riskleri yaratıyor.
GlassWorm vakası, modern zararlıların sadece tek bir platforma bağlı kalmayıp, çok katmanlı ve modüler yapılarla farklı ekosistemlerde yayılım gösterdiğini ortaya koyuyor. Bu nedenle, siber güvenlik profesyonellerinin hem kod editörleri hem de yazılım geliştirme ortamlarını kapsayan kapsamlı güvenlik önlemleri alması kritik önem taşıyor.