Koi Security tarafından tespit edilen GlassWorm, 2025 Eylül ortasında npm ekosistemini hedef alan Shai-Hulud saldırısından sonra DevOps dünyasında görülen ikinci büyük tedarik zinciri saldırısıdır. Bu tehdit, yazılım geliştirme ortamlarında yaygın kullanılan VS Code eklentilerini enfekte ederek yayılmaktadır.
Solana Blok Zinciri ve Google Takvim ile Dayanıklı Komut Kontrol
GlassWorm’un en dikkat çekici teknik özelliği, komut ve kontrol (C2) altyapısında Solana blok zincirini kullanmasıdır. Bu yöntem, altyapının kapatılmasını zorlaştırırken, Google Takvim etkinlikleri yedek C2 kanalı olarak işlev görür. Bu sayede saldırganlar, merkeziyetsiz ve esnek bir kontrol mekanizması kurmuş olur.
Unicode Varyasyon Seçicileri ile Görünmez Zararlı Kod
Tehdit aktörleri, zararlı kodu kod editörlerinde görünmez kılmak için Unicode varyasyon seçicilerini kullanır. Bu özel karakterler, görsel çıktı üretmez ancak kodun işleyişini etkiler. Bu teknik, zararlı kodun tespiti ve analizini zorlaştırır.
Çok Katmanlı Saldırı ve Veri Hırsızlığı
GlassWorm’un nihai hedefleri arasında npm, Open VSX, GitHub ve Git kimlik bilgilerini ele geçirmek, 49 farklı kripto para cüzdanından fon çekmek, geliştirici makinelerini SOCKS proxy sunucuları ve gizli HVNC (Hidden VNC) sunucuları aracılığıyla suç faaliyetlerine kanalize etmek yer alır. Enfekte eklentiler, yaklaşık 35.800 kez indirilmiş olup, saldırının ilk dalgası 17 Ekim 2025’te gerçekleşmiştir.
Zombi Modülü ve Dağıtık Komut Altyapısı
JavaScript ile yazılan Zombi modülü, GlassWorm enfeksiyonunu tam kapsamlı bir ele geçirmeye dönüştürür. Bu modül, SOCKS proxy, WebRTC tabanlı eşler arası iletişim, BitTorrent’in Dağıtık Hash Tablosu (DHT) ile merkezi olmayan komut dağıtımı ve HVNC uzaktan kontrol özelliklerini devreye sokar. Bu yapı, saldırının otonom ve sürdürülebilir yayılımını sağlar.
Otomatik Güncellemeler ve Sürdürülebilir Solucan Yapısı
VS Code eklentilerinin otomatik güncellenmeye açık olması, zararlı kodun kullanıcı etkileşimi olmadan yayılmasına olanak tanır. Bu saldırı, tek seferlik bir olay değil, geliştirici ekosisteminde hızla yayılan kendi kendine çoğalan bir solucan olarak tasarlanmıştır. Bu açıdan MCP istemcileri ve AsyncRAT gibi gelişmiş uzaktan erişim araçlarına benzerlikler taşır.
Blok Zinciri Tabanlı Saldırılar ve Siber Tehditlerin Evrimi
GlassWorm, blok zinciri teknolojisinin kötü amaçlı yazılım sahnelenmesinde artan kullanımına işaret eder. Takma ad kullanımı ve esneklik nedeniyle tercih edilen bu yöntem, Kuzey Koreli tehdit aktörleri tarafından da casusluk ve finansal amaçlı kampanyalarda kullanılmaktadır. Ayrıca, konteyner ortamlarında rastgele SSH portları açarak saldırı yüzeyini genişleten tekniklerle paralellik gösterir.