Saldırının Genel Çerçevesi
Son dönemde, Visual Studio Code (VS Code) uzantıları ve Go, npm ile Rust ekosistemlerinde yer alan bazı paketlerde, geliştirici verilerini hedef alan kötü amaçlı yazılımlar keşfedildi. Bu zararlılar, kullanıcıların kodlama ortamlarına entegre olarak, ekran görüntüleri almak, pano içeriğini okumak, WiFi şifrelerini ele geçirmek ve tarayıcı oturumlarını çalmak gibi kapsamlı veri sızıntısı faaliyetleri yürütüyor. Özellikle VS Code uzantıları, premium tema ve yapay zeka destekli kodlama asistanı gibi görünürken, arka planda PowerShell betikleri ve DLL kaçırma teknikleriyle kötü amaçlı işlevsellik barındırıyor.
Hangi Sistemler Risk Altında?
Geliştiriciler, özellikle VS Code kullanıcıları, Go, npm ve Rust paket yöneticileri üzerinden yayılan bu kötü amaçlı yazılımlardan etkileniyor. Microsoft Marketplace’ten kaldırılan “BigBlack” serisi uzantılar, 2025 sonlarında tespit edilip engellendi. Go paketlerinde, güvenilir UUID kütüphanelerini taklit eden “bpoorman” adlı paketler, hassas verileri dpaste adlı yapıştırma sitesine sızdırıyor. Npm ekosisteminde ise “elf-stats-*” isimlendirmesine sahip 420’den fazla paket, ters kabuk çalıştırma ve dosya sızdırma işlevleri içeriyor. Rust tarafında ise “finch-rust” adlı paket, meşru biyoinformatik aracı taklit ederek kötü amaçlı “sha-rust” paketini yükleyen bir yükleyici görevi görüyor.
Saldırı Zinciri ve Teknik Detaylar
VS Code uzantıları, ilk aşamada parola korumalı ZIP arşivlerini dış sunucudan indirip, dört farklı yöntemle açmak için PowerShell betikleri kullanıyordu. Sonraki sürümlerde ise kullanıcı uyarılarını engellemek için pencere gizlendi ve curl komutuyla yürütülebilir dosya ve DLL indirildi. DLL kaçırma yöntemiyle yüklenen “Lightshot.dll” dosyası, pano içeriği, WiFi kimlik bilgileri, yüklü uygulamalar, çalışan süreçler, masaüstü ekran görüntüleri ve sistem bilgilerini topluyor. Ayrıca, Google Chrome ve Microsoft Edge tarayıcılarını başsız modda çalıştırarak çerezleri ve oturum bilgilerini ele geçiriyor.
Go paketlerinde, “bpoorman/uuid” ve “bpoorman/uid” paketleri, uygulama tarafından çağrılan “valid” fonksiyonu üzerinden hassas verileri dpaste sitesine gönderiyor. Npm paketlerinde ise ters kabuk komutları ve Pipedream uç noktalarına dosya sızdırma kodları bulunuyor. Rust tarafında ise “finch-rust” paketi, meşru kodu çoğunlukla kopyalasa da, kötü amaçlı “sha-rust” paketini yükleyen tek satırlık zararlı kod içeriyor. Bu durum, zararlı kodun tespiti ve ayrıştırılmasını zorlaştırıyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- VS Code ve diğer IDE uzantılarının kaynaklarını ve imzalarını düzenli olarak doğrulayın.
- PowerShell ve komut satırı aktivitelerini EDR ve SIEM sistemleriyle izleyin, özellikle dış kaynaklı betik indirme ve yürütme olaylarına dikkat edin.
- Güvenilmeyen paket ve uzantıların kullanımını engellemek için IAM politikaları ve Zero Trust prensiplerini uygulayın.
- Tarayıcı oturumları ve çerez yönetimi için güvenlik önlemlerini artırın, başsız modda çalışan süreçleri izleyin.
- WiFi kimlik bilgileri ve pano erişimi gibi hassas verilerin korunması için endpoint güvenlik çözümlerini devreye alın.
- Loglarda anormal ağ trafiği, özellikle bilinmeyen dış sunuculara yapılan bağlantıları takip edin.
- npm, Go ve Rust paketlerini kullanmadan önce güvenlik taraması ve statik analiz araçlarıyla inceleyin.
- Olay müdahale süreçlerinizi güncel tutarak, şüpheli aktivitelerde hızlı aksiyon alın.
Kurumsal Ortamlarda Olası Senaryo
Bir yazılım geliştirme firmasında, geliştiricilerin kullandığı VS Code uzantıları ve üçüncü parti paketler aracılığıyla saldırganlar, şirket içi kaynaklara erişim sağlayabilir. Özellikle bulut tabanlı kod depoları, CI/CD pipeline’ları ve hassas müşteri verileri risk altında olabilir. Bu tür saldırılar, e-posta güvenliği ve ağ segmentasyonu önlemleriyle desteklenmediğinde, fidye yazılımı gibi daha geniş çaplı tehditlere zemin hazırlayabilir.
Bu nedenle, kurumların yazılım geliştirme süreçlerinde kullanılan araçların güvenliğini sağlamak, bulut güvenliği ve olay müdahale mekanizmalarını entegre etmek kritik önem taşıyor.