GlassWorm Zararlısı, Popüler Geliştirici Eklentileri Üzerinden 24 Yeni Varyantla Geri Döndü

Anasayfa » GlassWorm Zararlısı, Popüler Geliştirici Eklentileri Üzerinden 24 Yeni Varyantla Geri Döndü
Geliştirici Güvenliği, Saldırı Kampanyaları, Zararlılar
Aralık 3, 2025Aralık 3, 2025Tarafından Cybernews.TR
0
GlassWorm Zararlısı, Popüler Geliştirici Eklentileri Üzerinden 24 Yeni Varyantla Geri Döndü

GlassWorm kampanyası, Microsoft Visual Studio Marketplace ve Open VSX platformlarında Flutter, React, Tailwind, Vim ve Vue gibi yaygın kullanılan geliştirici araçlarını taklit eden 24 zararlı eklentiyle tekrar aktif hale geldi. İlk olarak Ekim 2025’te tespit edilen bu zararlı, Solana blokzinciri altyapısını komut ve kontrol (C2) için kullanarak npm, GitHub ve Open VSX kimlik bilgilerini hedef alıyor ve birçok kripto cüzdanından varlıkları çalıyor.

Saldırı Zinciri ve Teknik Detaylar

GlassWorm’un saldırı zinciri, kullanıcıların güvenilir görünen eklentileri yüklemesiyle başlıyor. Saldırganlar, eklentilerin indirme sayılarını yapay olarak artırarak arama sonuçlarında üst sıralara çıkıyor ve böylece geliştiricilerin bu zararlı paketleri fark etmeden kullanmasını sağlıyor. Eklentiler aktive edildiğinde, Rust tabanlı implantlar devreye giriyor. Bu implantlar Windows için os.node adlı DLL ve macOS için darwin.node adlı dinamik kütüphane olarak paketlenmiş durumda.

İmplantlar, Solana blokzinciri cüzdan adresinden C2 sunucusunun adresini alıyor ve şifrelenmiş JavaScript dosyalarını indirerek sonraki aşama yükünü gerçekleştiriyor. Alternatif olarak, Google Takvim etkinliklerini analiz ederek C2 adresine ulaşabiliyorlar. Bu yöntem, saldırganların tespit edilmesini zorlaştırıyor ve saldırının sürekliliğini sağlıyor.

Hangi Sistemler Risk Altında?

Bu kampanya özellikle yazılım geliştiricileri ve açık kaynak projelerde çalışan ekipleri hedef alıyor. Visual Studio Code ve Open VSX gibi yaygın kullanılan eklenti platformları üzerinden yayılan zararlı, hem bireysel geliştiriciler hem de kurumsal yazılım ekipleri için risk oluşturuyor. Ayrıca, kimlik bilgileri ele geçirildiğinde, saldırganlar bulut ortamlarına, kod depolarına ve diğer kritik altyapılara erişim sağlayabilir.

Siber Güvenlik Ekipleri İçin Öneriler

  • Eklenti kaynaklarını doğrulamak ve yalnızca resmi, güvenilir kaynaklardan eklenti yüklemek.
  • EDR çözümlerinde Rust tabanlı implantları tespit edecek imzaların güncellenmesi.
  • Visual Studio Marketplace ve Open VSX platformlarında olağandışı indirme ve güncelleme aktivitelerinin izlenmesi.
  • Kimlik bilgileri yönetimi için IAM politikalarının sıkılaştırılması ve MFA kullanımının zorunlu hale getirilmesi.
  • SIEM sistemlerinde eklenti aktivasyon loglarının detaylı incelenmesi.
  • Firewall ve ağ segmentasyonu ile geliştirici makinelerinin kritik altyapıdan izole edilmesi.
  • Olay müdahale (incident response) süreçlerinin GlassWorm benzeri zararlılara karşı güncellenmesi.
  • E-posta güvenliği ve sosyal mühendislik saldırılarına karşı farkındalık eğitimlerinin artırılması.

Teknik Özet

  • Kullanılan zararlılar: Rust tabanlı implantlar (os.node, darwin.node), şifrelenmiş JavaScript yükleri.
  • Hedef platformlar: Windows, macOS, Visual Studio Code ve Open VSX kullanıcıları.
  • Saldırı zinciri: Güvenilir görünen eklenti yüklemesi → implant aktivasyonu → Solana blokzinciri üzerinden C2 iletişimi → ek zararlı yüklerin indirilmesi.
  • Önerilen savunma: Eklenti kaynaklarının doğrulanması, IAM ve MFA uygulamaları, EDR ve SIEM entegrasyonları, ağ segmentasyonu.

GlassWorm kampanyasının yeni varyantları, geliştirici araçları ekosisteminde ciddi bir tehdit oluşturuyor. Özellikle yazılım geliştirme süreçlerinde kullanılan eklentilerin güvenliği, bulut güvenliği ve ağ segmentasyonu stratejileriyle desteklenmeli. Bu sayede, kimlik bilgisi hırsızlığı ve zararlı yazılım yayılımı önlenebilir.

, , , , , , ,