Açıklama, Genel Özet
Microsoft, Visual Studio Marketplace’ten "Material Theme – Free" ve "Material Theme Icons – Free" adlı iki popüler VSCode eklentisini, zararlı kod içerdiği için kaldırdı. Toplamda yaklaşık 9 milyon kez indirilen bu eklentiler, kullanıcıların VSCode ortamlarında otomatik olarak devre dışı bırakıldı.
Eklentilerin geliştiricisi Mattia Astorino (equinusocio), VSCode Marketplace’te toplamda 13 milyondan fazla indirmeye sahip birden fazla eklenti yayınlamıştır.
Zararlı Yazılımın Detayı
Yayıncı: Uzantıları geliştiren bir veya birkaç yayıncı, uzantılarında kötü niyetli kodu kasıtlı veya ihmalkar biçimde barındırıyor olabilir.
Güvenlik Riski: Uzantılar, sisteme ek scriptler ya da bağımlılıklar getirerek kullanıcı bilgilerini (ör. kimlik bilgileri, kod parçaları) sızdırabilir veya uzaktan komut çalıştırma (RCE) gibi kritik güvenlik açıklarına sebep olabilir.
Etkilenme Kapsamı: 9 milyondan fazla indirme sayısı, bu uzantıların çok popüler olduğunu ve pek çok geliştiricinin potansiyel risk altında kalabileceğini gösteriyor.
Siber güvenlik araştırmacıları Amit Assaraf ve Itay Kruk, bu eklentilerde şüpheli kod tespit ettiklerini ve bulgularını Microsoft’a bildirdiklerini açıkladılar. Microsoft, kendi güvenlik araştırmacılarının da bu iddiaları doğruladığını ve ek şüpheli kodlar bulduğunu belirtti. Bunun sonucunda, geliştirici Marketplace’ten yasaklandı ve ilgili eklentiler kaldırıldı.
Teknik Detaylar
Eklentilerin içeriğinde, kullanıcıların farkında olmadan zararlı kodların çalıştırılmasına olanak tanıyan komut dosyaları bulunduğu tespit edilmiştir. Bu kodlar, kullanıcı sistemlerinde yetkisiz işlemler gerçekleştirebilir ve potansiyel olarak veri ihlallerine yol açabilir.
Microsoft, bu tür kötü amaçlı eklentilere karşı Visual Studio Marketplace’te çeşitli güvenlik önlemleri uygulamaktadır. Bu önlemler arasında:
Kötü amaçlı yazılım taramaları
Dinamik analizler
Doğrulanmış yayıncıların belirlenmesi
bulunmaktadır.
Araştırmacıların raporuna göre:- Uzantıların kaynak kodu veya paket yapısına dair net ayrıntılar belirtilmemiştir.- Temaların yalnızca statik JSON dosyalarından oluşması gerektiği halde, şüpheli davranışlar içermesi dikkat çekmiştir.- "release-notes.js" dosyaları, açık kaynaklı yazılımlarda her zaman bir tehlike işareti olan, oldukça karmaşık JavaScript kodları içermektedir.
Öneri ve Çözüm Önerisi
Eklenti Güvenliği: Kullanıcılar, eklenti yüklemeden önce yayıncının güvenilirliğini ve eklenti hakkında yapılan yorumları dikkatlice incelemelidir.
Güncel Yazılım Kullanımı: VSCode ve diğer yazılımlar en son sürümlerde tutulmalı ve bilinen güvenlik açıklarına karşı korunma sağlanmalıdır.
Eklenti Yönetimi:
Kullanılmayan veya gereksiz eklentiler düzenli olarak kaldırılmalıdır.
Mevcut eklentilerin izinleri ve erişimleri gözden geçirilmelidir.
Güvenlik Araçları:
Sistemlerde güncel antivirüs ve kötü amaçlı yazılım tarama araçları kullanılmalıdır.
Durum netleşene ve uzantıların kötü amaçlı olup olmadığı belirlenene kadar, tüm projelerden aşağıdaki eklentilerin kaldırılması önerilir:
IOCs (Indicators of Compromise)
| Eklenti Adı | |-------------------------------------------------------| | equinusocio.moxer-theme | | equinusocio.vsc-material-theme | | equinusocio.vsc-material-theme-icons | | equinusocio.vsc-community-material-theme | | equinusocio.moxer-icons |
Comments