73 GlassWorm ile Bağlantılı VSX Sleeper Uzantılarını Açın Yeni Kötü Amaçlı Yazılım Kampanyasını Etkinleştirin

Open VSX pazarını hedef alan GlassWorm tedarik zinciri saldırısı, 73 yeni "travers" uzantısının keşfedilmesiyle tırmandı. Nisan 2026 'da tanımlanan bu küme, tehdit aktörlerinin kötü amaçlı yazılımları yazılım geliştiricilere nasıl dağıttığı konusunda tehlikeli bir değişime işaret ediyor. Bu faaliyet, araştırmacıların GlassWorm operasyonuna bağlı 72 kötü amaçlı Open VSX uzantısını belgelediği Mart 2026 'da keşfedilen büyük bir dalgayı takip ediyor. Daha önceki varyantlar, kötü amaçlı yükleyicileri sessizce yüklemek için uzantı bağımlılığı özelliklerini kötüye kullanmıştı. Bununla birlikte, yeni Nisan 2026 kümesi, saldırganların güvenlik taramalarından kaçmak için taktiklerini geliştirdiğini gösteriyor. Travers Uzatma Stratejisi

Travers uzantısı, tehdit aktörleri tarafından silah haline getirilmeden önce yayınlanan sahte bir pakettir. Bu uzantılar başlangıçta görsel güven oluşturmak, güvenilirlik kazanmak ve indirmeleri toplamak için zararsız görünür. Saldırganlar, popüler araçların klonlanmış sürümlerini yayınlamak için yeni oluşturulan GitHub hesaplarını kullanıyor. Örneğin, saldırganlar Visual Studio Code için meşru sürümü yakından taklit eden sahte bir Türkçe Dil Paketi oluşturdu. Yayıncı adını değiştirirken küre simgesini ve açıklamayı kopyaladılar. Visual Studio Code için sahte bir Türkçe dil paketi (kaynak :soket)

Geliştiriciler bu klonlanmış araçları yükledikten sonra, saldırganlar kötü amaçlı yazılımı teslim eden bir yazılım güncellemesini göndermeden önce beklerler. 73 yeni uzantının en az altısı, yük sağlamak için zaten etkinleştirildi. Gelişen Teslimat Mekanizmaları

Bu son dalgada, uzantı yalnızca harici yükleri almak için ince bir yükleyici görevi görür. Kötü amaçlı kod artık uzantının kaynak kodunda doğrudan görünmez ve bu da tespit edilmekten kaçınma olasılığını artırır. Kampanya iki ana yürütme yöntemi kullanmaktadır:

Yerel İkili Dosyalar: Paketlenmiş .node dosyaları uzantı kodunun içinde gizlidir. Basit bir JavaScript dosyası, kötü amaçlı yazılım indiren gömülü URL'ler içeren ikiliyi çalıştırır.