Tehdit Aktörleri, Yerel Kodlama Araçlarını Ele Geçirmek İçin Kötü Amaçlı Yapay Zeka İstekleriyle OpenVSX Aqua Trivy’yi Sömürüyor

Geliştiricileri hedef alan bir tedarik zinciri saldırısı, 2 Mart 2026 'da OpenVSX kayıt defterindeki Aqua Trivy VS Code uzantısının iki sürümünde yetkisiz kod bulunduğunda ortaya çıktı. Tehlike altındaki sürümler — 1.8.12 ve 1.8.13 — 27 ve 28 Şubat 2026 'da aquasecurityofficial.trivy-vulnerability-scanner ad alanı altında yüklendi. Saldırı, bir geliştiricinin kendi yapay zeka kodlama araçlarını sessiz veri toplama araçlarına dönüştürmek için tasarlanmış gizli doğal dil istemleri getirdi.​

Trivy, VS Kod uzantısı geliştiriciler tarafından işletmeler ve bireysel projeler arasında yüklenen yaygın olarak kullanılan bir açık kaynaklı güvenlik açığı tarayıcısıdır. 1.8.11 'e kadar olan tüm sürümler, genel GitHub deposuyla tutarsızlık olmadan eşleşti. Etkilenen iki sürüm, etiketli sürüm olmadan halka açık depoda bulunmayan ekstra kod içeriyordu ve bu da tahrifatın standart inceleme yoluyla tespit edilmesini neredeyse imkansız hale getiriyordu.​

Socket.dev araştırmacıları, yayınlandıktan kısa bir süre sonra bu uzantı sürümlerinde şüpheli davranışları belirledi ve araştırmaya başladı. Analizleri, kötü amaçlı kodu, birkaç büyük açık kaynaklı projede GitHub Eylemleri iş akışlarını hedefleyen daha geniş bir yapay zeka destekli bot kampanyasıyla ilişkilendirdi. StepSecurity, bu kampanyanın kişisel bir erişim jetonunun çalınmasına ve Aqua'nın Trivy GitHub deposunun devralınmasına nasıl yol açtığını ayrı ayrı belgeledi ve saldırganlara tahrif edilmiş uzantıyı OpenVSX'e itmek için gereken erişimi sağladı.​

Eklenen kod, geleneksel casus yazılımları veya bir arka kapıyı düşürmek yerine, yerel olarak yüklenen yapay zeka asistanlarını (Claude, Codex, Gemini, GitHub Copilot CLI ve Kiro CLI) geliştiricinin makinesinde derinlemesine keşif yapmaları için yönlendirdi. Her araç, herhangi bir kullanıcı onayı atlanarak en izin verici bayrağıyla çağrıldı. Tüm süreçler, çıktı bastırılmış olarak arka planda ayrılırken, uzantı normal davranmaya devam etti ve geliştiricilere görünür bir uyarı bırakmadı.