Bir grup İsrailli araştırmacı, Visual Studio Code pazarının güvenliğini araştırdı ve popüler “Dracula Official” temasının bir kopyasını riskli kod içerecek şekilde zararlı hâle getirerek 100’den fazla kuruluşa bulaştırmayı başardı. VSCode Marketplace (eklenti pazarı) üzerinde yapılan diğer araştırmalarda milyonlarca yüklemeye sahip binlerce uzantı bulundu.
Dracula temasında yazım yanlışı
Araştırmacılar Amit Assaraf, Itay Kruk ve Idan Dardikman, son deneylerinde VSCode Marketplace’te 7 milyondan fazla yüklemesi bulunan ve çeşitli uygulamalar için popüler bir renk şeması olan Dracula Official temasını typosquat yani bilerek yazım yanlışı yapılan bir eklenti oluşturdular.
Bu eklentilerinin adı Dracula yerine Darcula şeklindeydi. Hatta darculatheme[.]com şeklinde bir domain oluşturup VSCode marketinde güvenilirliklerini artırdılar.
Oluşturmuş oldukları bu temada orijinal Dracula temasının gerçek kodları barınıyordu fakat bilgisayar adı, yüklü eklenti sayısı, cihazın alan adı ve işletim sistemi platformu dahil olmak üzere sistem bilgilerini toplayan ve HTTPS POST isteği metoduyla uzak bir sunucuya gönderen ek bir komut dosyası da içeriyor.
Ayrıca araştırmayı gerçekleştiren araştırmacılar, VSCode’un bir geliştirme ve test sistemi olması nedeniyle hoşgörülü davranıldığını dile getirdi. Yani kötü amaçlı kodun uç nokta algılama ve yanıtlama (EDR) araçları tarafından tespit edilemediği belirtilmekte.
VSCode eklenti marketinin durumu
Başarılı deneyin ardından araştırmacılar, yüksek riskli uzantıları bulmak, paketlerini açmak ve şüpheli kod parçacıklarını incelemek için geliştirdikleri ‘ExtensionTotal’ adlı özel bir araç kullanarak VSCode Marketplace’in siber tehdit ortamına dalmaya karar verdiler.
Bu süreç boyunca aşağıdaki veriler tespit edilmiş:
- 1.283 bilinen kötü amaçlı kod (229 milyon yükleme).
- 8.161 sabit kodlanmış IP adresleriyle iletişim kuruyor.
- 1.452’si bilinmeyen yürütülebilir dosyalar çalıştırıyor.
- 2.304’ü başka bir yayıncının Github deposunu kullanıyor, bu da taklitçi olduklarını gösteriyor.
Aşağıda kötü amaçlı bir Visual Studio Code Marketplace uzantısında bulunan ve siber suçlunun sunucusuna reverse shell bağlantısı oluşturan bir kod örneği yer almakta:
Zararlı eklentiler Microsoft’a bildirildi!
Microsoft’un VSCode Marketplace üzerinde sıkı kontroller ve kod inceleme mekanizmalarının bulunmaması, tehdit aktörlerinin platformu yaygın bir şekilde kötüye kullanmasına olanak tanımakta ve platformun kullanımı arttıkça bu durum daha da kötüleşmekte.
Bu doğrultuda araştırmacılar, “Rakamlardan da anlayabileceğiniz gibi, Visual Studio Code pazarında kuruluşlar için risk oluşturan çok sayıda uzantı var. VSCode uzantıları, sıfır görünürlük, yüksek etki ve yüksek risk ile kötüye kullanılan ve açığa çıkan bir saldırı yöntemidir. Bu sorun, kuruluşlar için doğrudan bir tehdit oluşturmaktadır ve güvenlik topluluğunun dikkatini çekmelidir.” şeklinde uyarıda bulundu.
Ayrıca araştırmacılar bu zararlı kod içeren eklentileri otomatik bir biçimde tespit eden “ExtensionTotal” adlı programı önümüzdeki haftalarda genele açık bir biçimde paylaşıp bu tür siber tehdit aktörlerinin toplumca üstesinden gelmeyi hedeflediklerini bildirdiler. Microsoft tarafından henüz olayla alakalı herhangi bir açıklama bulunmamakta.
Peki hacklenmemek için ne yapmalı?
- İndirmiş olduğunuz eklentilerin eklenme tarihine ve güncelleme tarihine dikkat edin.
- İndirmiş olduğunuz eklentinin indirme sayısını ve puan oranını kontrol edin.
- Gerekli olmadıkça eklenti kurmayın. Örneğin VSCode içine ek bir kod güzelleştirici kurmak yerine VSCode’a dahil olan kod güzelleştiriciyi kullanın.
- Kurmanız gereken eklentilerin orijinal şirketlere ait olmasına dikkat edin. Örneğin kurmuş olduğunuz eklenti Microsoft’a ait ise onlar zaten gerekli güvenlik önlemlerini almadan güncelleme yayınlamadıkları için daha rahat bir biçimde bu eklentileri kullanabilirsiniz.
Ayrıca süreci takip etmek isterseniz Amit Assaraf ve ekip arkadaşları tarafından yazılan blog serisinin ilk bölümüne buradan gidebilirsiniz.
Siber tehditlerin giderek yaygınlaştığı bu dijital dünyada güvenli günler dileriz.
