GlassWorm bir yıl VS Code eklentilerinde saklandı, sonunda çökertildi

Bir yıldan uzun süre, telefonunuzdaki uygulamaları yapan geliştiricilerin bir kısmı, farkında olmadan başka biri için çalıştı. GlassWorm adlı kötü amaçlı yazılım, dünyanın en çok kullanılan kod düzenleyicisi Visual Studio Code’un eklentilerinin ve bu geliştiricilerin her gün projelerine kattığı açık kaynak paketlerin içinde yaşıyordu. Parolalarını topluyor, hesaplarını ele geçiriyor ve onları daha da fazla yazılıma yerleşmek için kullanıyordu. CrowdStrike, Google ve Shadowserver Foundation, az önce onun iplerini kesti.

Bu, ömründe bir kod düzenleyici açmamış olanları bile ilgilendirir, çünkü yazılımın tedarik zinciri tam olarak budur, bir zincir. Telefondaki mesajlaşma uygulaması, banka uygulaması, konsoldaki oyun, hepsi başkalarının yazıp baktığı binlerce küçük açık kaynak tuğlasına dayanır. O tuğlalardan birini zehirleyin, zehir akıntının aşağısına, milyonların kullandığı bitmiş ürünlere kadar inebilir. GlassWorm, o akıntıya görünmeden binmek için tasarlanmıştı.

Onu ayıran şey saklanma biçimiydi. Operatörler kötü amaçlı talimatları görünmez Unicode karakterleriyle yazıyordu; düzenleyicide boş alan gibi görünen bu kod yüzünden dosyayı gözden geçiren bir geliştirici tuhaf bir şey görmüyordu. Kampanyayı ilk tespit eden Koi Security araştırmacıları onu, kod düzenleyici eklentileri üzerinden kendi kendine yayılan ilk solucan olarak nitelendirdi. Bulaştığı her makine bir sonrakinin başlangıç noktası oluyordu.

Tedarik zinciri saldırılarının çoğu vur kaçtır: zehirli bir paket bulunur, geri çekilir ve günler içinde düzeltilir. GlassWorm kalıcı olmak için yapılmıştı. Yayılmak için gereken kimlik bilgilerini kendisi çaldığından, herhangi bir eklenti kaldırıldıktan çok sonra bile yeniden yerleşebiliyordu; tek bir operasyon böylece bir yılı aşkın sürede yüzlerce projeye ve on binlerce indirmeye ulaştı.

Bulaşma yolları modern yazılım işinin sıradan tesisatıydı. Operatörler tuzaklı eklentileri, VS Code ile kuzenleri Cursor, Windsurf, Positron ve VSCodium’u besleyen Open VSX pazarına, zaman sayaçları ya da kod biçimlendiriciler gibi masum araç kılığında yüklüyordu. Kendi başına çalışan kurulum betikleri aracılığıyla npm ve Python paket dizinindeki paketlere bozuk kod sızdırıyor, önceki kurbanlardan alınan kimlik bilgileriyle GitHub’daki 300’den fazla deponun ana dallarına zorla kötü amaçlı değişiklikler itiyorlardı. Bir makineye girdikten sonra GlassWorm anahtar peşine düşüyordu: npm jetonları, GitHub girişleri, bir geliştiricinin eklenti yüklemesini sağlayan yayın jetonları ve kripto cüzdanları. Bulaşmış bilgisayarları başka suç trafiği için aktarma sunucusuna çeviriyor, kimi durumda da operatörlere ekranı canlı gösteren gizli bir uzaktan erişim yazılımı kuruyordu.

Onu çökertmek, operatörlerin makineleriyle nasıl iletişimde kaldığına saldırmak demekti ve GlassWorm tam burada hayatta kalmak için kurulmuştu. Fişi çekilebilecek tek bir komuta sunucusuna bel bağlamak yerine aynı anda dört kanal kullanıyordu. Biri talimatlarını, kalıcı ve erişilemez olacak şekilde tasarlanmış açık bir kayıt defteri olan Solana blok zincirinin işlemlerinin içine kodluyordu. Bir diğeri ayar verilerini BitTorrent dosya paylaşım ağında saklıyordu. Üçüncüsü kodlanmış web adreslerini Google Calendar etkinliklerinin başlıklarına sıkıştırıyordu. Dördüncüsü sıradan, kiralık bir sunucuydu. CrowdStrike’ın Counter Adversary Operations ekibi, Google ve Shadowserver ile birlikte tüm bu seti tek bir eşgüdümlü darbeyle kesti.

İpleri kesmek yarayı temizlemekle aynı şey değildir. Kanalları kesmek, operatörlerin yeni emirler ve taze yük göndermesini engeller, ama GlassWorm’u zaten ele geçirdiği makinelerden hiç kaldırmaz ve çaldığı her parola çalınmış olarak kalır. Bu, kampanyanın ilk kesintisi de değil. Koi Security onu ifşa ettikten sonra GlassWorm geri döndü; bir kez yirmi dört yeni kötü amaçlı eklentiyle, aylar sonra düzinelercesiyle daha. Araştırmacıların çökertilmesi imkânsız diye tarif ettiği blok zinciri kanalı şimdi çökertildi, ama arkasındakiler defalarca yeniden inşa ettiklerini gösterdi.

Soruşturmacılar operatörlerin büyük olasılıkla Rusya’da olduğunu düşünüyor. Yazılım, başlarken bilgisayarın dil ve saat dilimi ayarlarını denetliyor ve kendini Rusya’da ya da eski Sovyet coğrafyasından komşu bir ülkede bir sistemde bulursa sessizce kapanıyor; bölgeden çalışıp yerel kurbanlardan kaçınan suç çetelerinin tanıdık bir imzası. CrowdStrike bu kaymayı yalın biçimde özetledi: saldırganlar artık yalnızca ürünleri değil, onları yapan geliştiricileri hedef alıyor. Shadowserver Foundation, etkilenen kuruluşları sistemlerini temizlemeleri ve sızmış olabilecek her kimlik bilgisini yenilemeleri için uyarmaya başladı; zincirin daha aşağısındaki herkes içinse asıl iş şimdi başlıyor, ekipler 2025’in başından beri hangi eklenti ve paketleri kurduklarını gözden geçirirken. Altyapı karanlıkta. Temizlik daha yeni başlıyor.