GlassWorm v2 Kötü Amaçlı Yazılımı

Siber güvenlik araştırmacıları, Open VSX deposunda barındırılan düzinelerce Microsoft Visual Studio Code (VS Code) eklentisini içeren büyük ölçekli bir kötü amaçlı saldırı kampanyasını ortaya çıkardı. GlassWorm olarak takip edilen bu operasyon, geliştiricilerden hassas bilgileri çalmayı ve geliştirme ortamlarını tehlikeye atmayı hedefliyor.

Araştırmacılar, meşru araçları taklit eden 73 şüpheli uzantı keşfetti. Bunlardan altısının kötü amaçlı olduğu doğrulandı, geri kalanlar ise daha sonra güncellemeler yoluyla kötü amaçlı hale getirilmeden önce kullanıcı güvenini kazanmak için tasarlanmış, pasif 'uyuyan' paketler olarak işlev görüyor gibi görünüyor.

Tespit edilen tüm uzantılar Nisan 2026 başlarında yüklendi. 21 Aralık 2025'ten bu yana araştırmacılar, 320'den fazla kötü amaçlı yazılımı daha geniş GlassWorm altyapısıyla ilişkilendirdi.

Onaylanmış Kötü Amaçlı Uzantılar

Aşağıdaki Open VSX eklentilerinin zararlı olduğu doğrulanmıştır:

• dış fırtına komutu.monokromatör-teması
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• kaya tüneli.vscode-arkadaşları
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Klonlanmış Paketler Aracılığıyla Sosyal Mühendislik

Birçok gizli eklenti, yazım hatasıyla alan adı ele geçirme taktikleri kullanarak güvenilir paketleri yakından taklit eder. Örneğin, saldırganlar meşru Emotionkyoseparate.turkish-language-pack yerine CEINTL.vscode-language-pack-tr gibi yanıltıcı adlandırmalar kullandılar.

Güvenilirliği artırmak için, bu sahte eklentiler orijinal simgeleri ve açıklamaları da kopyaladı. Bu 'görsel güven' stratejisi, paketlerin gerçek ve güvenli görünmesini sağlayarak saldırganların kurulum sayılarını doğal olarak artırmasına yardımcı olur.

Saldırganlar Daha Gizli Teslimat Tekniklerine Geçiyor

Araştırmacılar, GlassWorm operatörlerinin tespit edilmekten kaçınmak için yöntemlerini aktif olarak geliştirdiklerini bildiriyor. Artık kötü amaçlı yazılımı hemen yaymak yerine, daha sonra etkinleşebilecek gizli paketlere ve gizli geçişli bağımlılıklara güveniyorlar.

Kampanya ayrıca, GitHub'da barındırılan ikinci bir kötü amaçlı VSIX uzantısını yüklemek için Zig tabanlı yükleyiciler kullanıyor. Çalıştırıldıktan sonra, yükleyici zararlı yazılımı aynı sistemde kurulu birden fazla entegre geliştirme ortamına (IDE) yayabiliyor.

Birden fazla IDE risk altında

Bu kötü amaçlı yazılım, --install-extension komutu aracılığıyla aşağıdakiler de dahil olmak üzere çeşitli geliştirici platformlarını tespit edip enfekte edebilmektedir:

• Microsoft VS Code
• İmleç
• Rüzgar sörfü
• VSCodium

Veri Hırsızlığı ve Uzaktan Kontrol İçin Tasarlanmış Son Yük

İlk bulaşma yolu ne olursa olsun, nihai amaç aynı kalır. Kötü amaçlı yazılım, Rusya'da bulunan sistemlerden kaçınmak, hassas bilgileri toplamak, uzaktan erişim truva atı (RAT) yaymak ve gizlice Chromium tabanlı sahte bir tarayıcı uzantısı yüklemek üzere tasarlanmıştır.

Bu tarayıcı eklentisi kimlik bilgilerini, yer işaretlerini ve ek olarak depolanmış verileri yakalayabilir. Bazı varyantlarda, dağıtım mekanizması gizlenmiş JavaScript içine yerleştirilmiştir; burada eklenti yalnızca bir yükleyici görevi görürken, gerçek yük etkinleştirildikten sonra indirilir ve yürütülür.