Hacker, kripto cüzdanlarını çalmak için OpenVSX ekosistemini hedef alıyor.

28.04.2026 17:51

GlassWorm, sofistike bir kötü amaçlı yazılım, internet kaynaklarından elde edilen son bulgulara göre OpenVSX kaydına 73 zararlı uzantı sızdırdı. Zararlı paketler, siber suçlular tarafından kripto para cüzdanı kimlik bilgilerini ve diğer hassas geliştirici verilerini dışa aktarmak için kullanılıyor. Güvenlik analistleri, artık aktif yük taşıyıcıları haline gelen ve orijinalde zararsız olan tanınmış araçların meşru kopyaları gibi görünen altı uzantıyı tespit etti.

İlk kez Ekim 2025’te ortaya çıkan GlassWorm, zararlı kodunu görünmez Unicode karakterleriyle gizleyerek standart kod incelemelerinin önüne geçiyor. Görünümünden itibaren kampanya, OpenVSX’in ötesine geçerek npm paketlerini, GitHub depolarını ve Visual Studio Code Marketplace’i hedef aldı. Özellikle agresif bir dalga, Mart 2026 ortasında yüzlerce depoyu ve onlarca uzantıyı etkileyerek, daha sonra yayılmasını sınırlamaya yardımcı olan çeşitli araştırma gruplarının dikkatini çekti.

Önceki sürümlerin yükü doğrudan gömülü olmasının aksine, en yeni tekrarı gecikmeli etkinleştirme stratejisini benimsiyor. Saldırganlar başlangıçta temiz görünümlü bir uzantı yayınlayarak bir kullanıcı tabanı oluşturuyor, ardından daha sonra kötü amaçlı bir güncelleme iterek hırsızlık rutinlerini devreye sokuyor. “Klonlanmış veya taklit edilen uzantılar öncelikle belirgin bir yük olmadan yayımlanıyor, ardından daha sonra kötü amaçlı yazılım dağıtmak için güncelleniyor,” diye Socket araştırmacıları belirtiyor.

73 ele geçirilmiş uzantı arasında üç ayrı dağıtım mekanizması ortaya çıkarıldı. İlk yöntem, ana uzantı çalışırken GitHub’dan ikincil bir VSIX paketi indiriyor ve komut satırı talimatlarıyla kuruyor. İkinci yaklaşım, çekirdek mantığı barındıran ve ek yükleri almak için rutinler içeren *.node gibi platforma özgü derlenmiş modülleri yüklüyor. Üçüncü teknik ise, çalışma zamanında çözülen yoğun biçimde karıştırılmış JavaScript kullanarak daha fazla kötü amaçlı uzantıyı alıyor ve kuruyor; genellikle son yükü elde etmek için şifreli veya yedek URL’ler kullanıyor.

Görsel olarak, sahte uzantılar meşru karşılıklarından ayırt edilemez. Önemli bir örnek olarak, saldırgan popüler bir uzantının simgesini kopyalayarak sahteyi neredeyse aynı hale getirdi. Bu derece taklit, geliştiricilerin tehditi ayrıntılı bir inceleme yapmadan tespit etmesinin ne kadar zor olduğunu vurguluyor.

Hacker, kripto cüzdanlarını çalmak için OpenVSX ekosistemini hedef alıyor.

Recent news

Ethereum Vakfı, 10.000 ETH'yi BitMine'a aktardı.

Arbitrum'un 72 Milyon Dolarlık ETH Dondurma Testi, Kelp Rescue ile L2 Gücünü Gösteriyor

Dogecoin Kuyusu'ndaki DOGE Ayak İtfaiyecileri $11,6 Milyar Rekor Kaldıracaklar

Trump, 30 Haziran tarihli ABD-İran görüşmeleri için kötümser bir görünüm yaratıyor.

Bitcoin, 1,74 milyar dolarlık opsiyonların sona ermesinin öncesinde anahtar sahiplerinin maliyet temelli destek seviyesinin altına düştü.

XRPL Gizlilik İtici, ZK Kimlik Tartışmasını Ateşliyor.

Trump, İran askeri operasyonlarının 7 Nisan'daki ateşkesle sona erdiğini doğruladı, bu durum çatışmaları durduruyor ve diplomatik çabalara yönelme anlamına geliyor.

Bitcoin $78.000 seviyesinde, ETF girişleri geri döndükçe, Ethereum çıkışları devam ediyor.