Siber Güvenlik, Tehdit Analizi

Yerleşik Fidye Yazılımı Özellikleri Taşıyan Vibe-Coded Kötü Amaçlı VS Code Uzantısı ve Npm Paketleri Üzerinden Yayılım

Kasım 8, 2025Kasım 8, 2025Tarafından Cybernews.TR
50
Yerleşik Fidye Yazılımı Özellikleri Taşıyan Vibe-Coded Kötü Amaçlı VS Code Uzantısı ve Npm Paketleri Üzerinden Yayılım

Secure Annex araştırmacısı John Tuckner tarafından keşfedilen “susvsex” adlı kötü amaçlı Visual Studio Code (VS Code) uzantısı, yerleşik fidye yazılımı işlevselliği ile dikkat çekiyor. 5 Kasım 2025’te “suspublisher18” kullanıcı hesabı tarafından “Sadece test” açıklamasıyla yayımlanan bu uzantı, Windows ve macOS sistemlerde otomatik olarak belirli dizinlerdeki dosyaları sıkıştırıp şifreleyerek uzak sunucuya yüklüyor. Microsoft, 6 Kasım itibarıyla uzantıyı resmi VS Code Marketplace’ten kaldırdı.

Fidye Yazılımı Fonksiyonlarının Teknik Detayları

Uzantı, yükleme veya VS Code başlatılması gibi olaylarda otomatik olarak aktifleşiyor ve “zipUploadAndEncrypt” fonksiyonunu tetikliyor. Bu fonksiyon, hedef dizindeki dosyaları ZIP arşivine dönüştürüp, şifreli versiyonlarıyla değiştiriyor ve arşivi uzak bir C2 sunucusuna gönderiyor. İlginç şekilde, bu C2 iletişimi GitHub üzerinden gerçekleştiriliyor; uzantı, özel bir GitHub deposundaki “index.html” dosyasını düzenli olarak kontrol ederek yeni komutları alıyor ve yürütüyor. Komutların çıktısı ise aynı depodaki “requirements.txt” dosyasına, gömülü GitHub erişim anahtarı kullanılarak yazılıyor.

Tuckner, şu anda hedef dizinin test amaçlı ayarlandığını ve zararın sınırlı olduğunu belirtse de, uzantının güncellenmesi veya C2 kanalından gönderilen komutlarla hedef dizinin kolayca değiştirilebileceğini vurguladı. Ayrıca, paket içerisinde yanlışlıkla şifre çözme araçları ve C2 sunucu kodlarının yer alması, saldırganların kontrolünü ele geçirme riskini doğuruyor.

GitHub Tabanlı Komut ve Kontrol (C2) Mekanizması

Bu saldırı, klasik C2 sunucularının yerine GitHub gibi meşru platformların kötüye kullanılmasıyla öne çıkıyor. Böylece ağ trafiği normal görünürken, komutlar ve veri alışverişi GitHub deposu üzerinden gizlice yürütülüyor. Bu yöntem, özellikle MCP istemcileri ve AsyncRAT gibi gelişmiş uzaktan erişim araçlarında da benzer şekilde kullanılıyor. Ayrıca, uzantının README dosyalarında ve kod yorumlarında yer alan detaylar, saldırganın kodu açıkça belgeleyerek yanlışlıkla ipuçları bırakmasıyla sonuçlanmış.

Truva Atı Npm Paketleri ve Vidar Bilgi Hırsızı

Secure Annex bulgusuyla eş zamanlı olarak Datadog Security Labs, 17 zararlı npm paketini ortaya çıkardı. Bu paketler, zararsız SDK’lar gibi görünürken, enfekte sistemlerde Vidar bilgi hırsızını gizlice çalıştıracak şekilde tasarlanmış. MUT-4831 adlı tehdit grubu tarafından yayımlanan bu paketler, 21-26 Ekim 2025 tarihleri arasında “aartje” ve “saliii229911” kullanıcıları tarafından yayınlandı. Paketler, “postinstall” betiği aracılığıyla dış bir sunucudan ZIP arşivi indiriyor ve Vidar yürütülebilir dosyasını çalıştırıyor.

Vidar 2.0 varyantları, Telegram ve Steam hesapları üzerinden gerçek C2 sunucusunu alarak daha sofistike bir kontrol mekanizması sunuyor. Bazı varyantlarda ise postinstall betiği doğrudan package.json dosyasına gömülü ve yürütme kontrolü JavaScript dosyasına aktarılıyor. Bu yöntem, tespit edilme riskini azaltmak için farklı uygulamalarda çeşitlendirilmiş.

Açık Kaynak Ekosistemlerinde Uzun Tedarik Zinciri Saldırıları

Bu vakalar, npm, PyPI, RubyGems ve Open VSX gibi açık kaynak paket yönetim sistemlerinin tedarik zinciri saldırılarına karşı ne kadar savunmasız olduğunu bir kez daha gösteriyor. Geliştiricilerin, paket yüklemeden önce değişiklik kayıtlarını dikkatle incelemesi, yazım hatası taklidi ve bağımlılık karışıklığı gibi saldırı tekniklerine karşı tetikte olması gerekiyor. Ayrıca, konteyner ortamlarında rastgele SSH portları kullanımı ve Pydantic AI gibi modern kütüphanelerin güvenlik açıkları da bu tür saldırılar için potansiyel zemin oluşturuyor.

Sonuç ve Öneriler

Vibe-Coded uzantısı ve Vidar içeren npm paketleri, modern fidye yazılımı ve bilgi hırsızlığı saldırılarında kullanılan tekniklerin çeşitliliğini ve karmaşıklığını ortaya koyuyor. GitHub tabanlı C2 mekanizmaları, yerleşik şifreleme fonksiyonları ve tedarik zinciri saldırıları, siber güvenlik profesyonelleri için yeni tehdit vektörleri oluşturuyor. Bu nedenle, yazılım geliştirme süreçlerinde güvenlik kontrollerinin artırılması, paketlerin kaynağının doğrulanması ve otomatik analiz araçlarının kullanılması kritik önem taşıyor.

Cybernews.tr olarak, bu tür gelişmeleri yakından takip etmeye devam edecek ve siber güvenlik topluluğunu güncel tehditler hakkında bilgilendireceğiz.

, , , , , , ,