glassworm kampanyası open vsx registry'yi istismar ediyor, 72 extension etkilenmiş

Posted on 15 Mar 2026

arkadaşlar, geliştiricileri hedef alan ciddi bir tedarik zinciri saldırısı var gündemde. glassworm denen kampanya open vsx registry’yi kullanarak yayılıyor ve bu sefer işi daha da ileriye taşımışlar.

olay ne?

siber güvenlik araştırmacıları glassworm kampanyasının yeni bir versiyonunu tespit etmiş. önceki versiyonlarda her kötü amaçlı extension kendi loader’ını içeriyordu, ama şimdi daha zekice bir yöntem kullanıyorlar. extensionPack ve extensionDependencies özelliklerini kötüye kullanarak, masum görünen extension’ları birbirine bağlayıp zincirleme bir enfeksiyon yaratmışlar.

spoiler: bu çok daha tehlikeli bir yaklaşım çünkü bir extension yüklediğinizde, arkasından otomatik olarak kötü amaçlı başka extension’lar da geliyor.

teknik detaylar

saldırganlar şöyle bir yöntem geliştirmişler:

  • ilk başta masum görünen bir extension yayınlıyorlar open vsx’e
  • bu extension, extensionPack veya extensionDependencies alanlarında başka extension’lara referans veriyor
  • kullanıcı bir extension yüklediğinde, otomatik olarak bağımlı extension’lar da yükleniyor
  • bu zincirleme yapı sayesinde kötü amaçlı kod sisteme sızıyor

klasik tedarik zinciri saldırısı yani, ama bu sefer daha organize ve yaygın.

etkilenen sistemler

PlatformDurum
Open VSX Registry✅ Etkileniyor
VS Code (Open VSX kullanan)✅ Risk altında
VSCodium✅ Risk altında
Diğer IDE’ler (Open VSX entegrasyonu olan)✅ Risk altında

edit: toplam 72 extension tespit edilmiş şu ana kadar. bu sayı artabilir.

yapmanız gerekenler

agalar, eğer open vsx registry’den extension yüklüyorsanız şunları yapın:

1. yüklü extension’ları kontrol edin

vscode veya kullandığınız ide’de:

  • extension listesini açın
  • son zamanlarda yüklediğiniz extension’lara bakın
  • özellikle tanımadığınız publisher’lardan gelenleri inceleyin

2. şüpheli extension’ları kaldırın

# vscode için extension listesini görmek
code --list-extensions

# şüpheli extension'ı kaldırmak
code --uninstall-extension publisher.extension-name

3. bağımlılıkları kontrol edin

extension detaylarına girip extensionPack ve extensionDependencies alanlarına bakın. eğer tanımadığınız extension’lar otomatik yükleniyorsa, kırmızı alarm.

4. güvenilir kaynakları tercih edin

  • microsoft’un resmi marketplace’ini kullanın mümkünse
  • open vsx kullanacaksanız, sadece tanıdığınız ve güvendiğiniz publisher’lardan yükleyin
  • extension yüklemeden önce review’lara ve download sayılarına bakın

geçici çözümler

hemen extension kaldıramıyorsanız:

ağ seviyesinde önlem:

# şüpheli extension'ların dış bağlantılarını engelleyin
# firewall kuralları ile outbound trafiği kısıtlayın

monitoring:

  • sistemdeki beklenmedik ağ aktivitelerini izleyin
  • yeni process’leri ve dosya değişikliklerini takip edin
  • edr/xdr çözümlerinizin loglarını kontrol edin

bu saldırı neden önemli?

arkadaşlar, bu klasik “güvenilir kaynak” istismarı. geliştiriciler genelde extension’lara güvenir çünkü kod yazmayı kolaylaştırırlar. ama bu güven kötüye kullanılıyor.

tedarik zinciri saldırıları son dönemin en tehlikeli saldırı türlerinden biri. çünkü:

  • güvenilir bir kaynaktan geliyormuş gibi görünüyor
  • otomatik güncellemelerle yayılabiliyor
  • geniş kitlelere ulaşabiliyor

dikkat: eğer kurumsal ortamda çalışıyorsanız, bu durumu güvenlik ekibinize bildirin. enterprise ortamlarda extension yükleme politikalarını gözden geçirin.

öneriler

kısa vadede:

  • tüm extension’larınızı gözden geçirin
  • şüpheli olanları kaldırın
  • open vsx’ten yeni extension yüklerken çok dikkatli olun

uzun vadede:

  • extension yükleme politikaları oluşturun
  • sadece onaylı registry’lerden yükleme yapın
  • otomatik güncellemeleri kontrollü şekilde yönetin
  • geliştiricilere güvenlik farkındalığı eğitimi verin

sonuç

agalar, glassworm kampanyası ciddiye alınması gereken bir tehdit. 72 extension çok büyük bir sayı ve daha fazlası çıkabilir.

şunu unutmayın: bir extension yüklemek, o extension’a sisteminizde kod çalıştırma izni vermek demek. bu yüzden neyi, nereden yüklediğinize çok dikkat edin.

bkz: supply chain attacks, software supply chain security

kaynaklar

not: maalesef haberde spesifik cve numarası verilmemiş. bu tür tedarik zinciri saldırıları genelde birden fazla zafiyet ve kötü amaçlı davranış kombinasyonu olduğu için tek bir cve ile tanımlanmıyor. ama takipte kalın, ileride cve atanabilir.

şimdilik yüklü extension’larınızı kontrol edin, şüphelendiğiniz varsa kaldırın. sonra gelip “benim sistemde ne vardı bilmiyorum” demeyin.

sağlıcakla kalın, güvenli kodlamalar.

Bu içerik yapay zeka tarafından oluşturulmuştur.