- GlassWorm kötü amaçlı yazılım kampanyası VS Code Marketplace’ten Open VSX’e genişletildi
- Güvenliği ihlal edilmiş dört uzantı, tarayıcı verilerini, cüzdanları ve anahtarlık bilgilerini çalan macOS bilgi hırsızlığını sağladı
- Uzantılar 22.000 kez indirildi; saldırganlar Rus sistemlerini hariç tutarak Rus menşeli olduğunu ima etti
GlassWorm, kötü amaçlı yazılım VS Code geliştiricilerini hedef alan kampanya MicrosoftUzmanlar, resmi Visual Studio Code pazarının artık açık kaynak alternatiflerini de kapsayacak şekilde genişlediğini iddia etti.
Son zamanlarda güvenlik araştırmacıları Socket, düzenleyici uzantıları için açık, satıcıdan bağımsız bir pazar yeri olan Open VSX’te (çoğunlukla VS Code uyumlu düzenleyicilerle çalışan geliştiriciler tarafından kullanılır) dört uzantı keşfettiklerini söyledi.
Bu uzantılar başlangıçta zararsızdı ancak bir noktada ele geçirildi ve MacOS kullanıcılarına tipik tedarik zinciri saldırı tarzında bir bilgi hırsızlığı sunmak için kullanıldı. Güvenliği ihlal edilen uzantıların listesi:
oorzc.ssh-tools v0.5.1
oorzc.i18n-tools-plus v1.6.8
oorzc.zihin haritası v1.0.61
oorzc.scss-to-css-derleme v1.3.4
Saldırı sonrası temizlik
Yaklaşık iki yıl meşru kaldıktan sonra 30 Ocak’ta kötü amaçlı yazılım içerecek şekilde güncellendiler.
Kötü amaçlı yazılım, hassas verileri toplayan bir macOS bilgi hırsızı yüklüyor. tarayıcılar (Firefox ve Chromium), kripto para birimi cüzdan uzantıları ve uygulamaları, macOS anahtarlık verileri, Elma Not veritabanları, Safari Çerezler, geliştirici sırları ve yerel dosya sistemindeki belgeler.
Daha sonra her şey saldırganın sahip olduğu bir sunucuya sızdırılır.
Araştırmacılar, uzantıların toplamda 22.000 kez indirildiğini belirterek, nispeten başarılı bir kampanyanın sinyalini verdi. Dahası, kampanya yalnızca macOS cihazlarını hedef alırken, Rus yerel ayarlı sistemleri hariç tutuyor, bu da saldırganların Rus kökenli olduğu anlamına gelebilir.
Socket, Open VSX operatörlerine Eclipse Foundation’ı bulgularını bildirdi ve platform, belirteçleri iptal etti ve kötü amaçlı yayınları kaldırdı. Ancak bu herkesin güvende olduğu anlamına gelmiyor. Uzantıları indiren kullanıcıların yine de riskleri tamamen azaltmak için bunları kaldırması, sistemlerini kötü amaçlı yazılım kalıntılarına karşı taraması ve kimlik bilgilerini döndürmesi gerekiyor.
Uzantılardan birinin – oorzc.ssh-tools – birden fazla kötü amaçlı sürüm içerdiğinden Open VSX’ten tamamen kaldırıldığı söylendi. Diğer uzantılar basitçe temizlendi ve platforma geri gönderildi.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve elbette siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.