Mart 2026'da ortaya çıkan GlassWorm kampanyası Nisan haftasında yeni bir boyuta ulaştı: Open VSX Marketplace'te
73 yeni "uyuyan" uzantı keşfedildi. Bu uzantılar, kod incelemesini geçen meşru paketler olarak yükleniyor; ardından güncelleme mekanizması zararlı yük enjekte etmek için kullanılıyor.
GlassWorm'un saldırı akışı:
- Geliştirici güvenilir VS Code uzantısını kuruyor
- Zararlı güncelleme ile sahte tarayıcı eklentisi yükleniyor
- Gerçek zamanlı ekran görüntüsü ve tuş kaydı başlatılıyor
- RAT ile kalıcı uzaktan erişim sağlanıyor
- Geliştiricinin kurumsal ağına pivot yapılıyor
GlassWorm'un en tehlikeli özelliği, ilk kurulumda tamamen temiz görünmesi; zararlı yük yalnızca güncelleme kanalıyla geliyor ve standart güvenlik taramaları bu durumu ilk aşamada yakalayamıyor. Bu saldırı, Axios, Bitwarden ve Smart Slider vakaları ile birlikte tedarik zinciri ekosisteminin sistematik biçimde hedef alındığını gösteriyor.