Dünyanın en yaygın kullanılan sembolik matematik kütüphanelerinden biri olan SymPy’yi taklit eden sympy-dev adlı kötü amaçlı bir paketi içeren, Python Paket Dizini’ni (PyPI) hedef alan tehlikeli bir tedarik zinciri saldırısı.
Sahte paket, tespit edilmekten kaçınırken kripto madenciliği kötü amaçlı yazılımları sunmak için karmaşık yazım hatası taktikleri ve çok aşamalı yürütme kullanıyor.
Kötü niyetli sympy-dev paketi, SymPy’nin resmi proje açıklamasını ve markalama öğelerini doğrudan kopyalayarak, kazara kurulum riskini artıran ikna edici bir görünüm oluşturur.
“Nanit” olarak tanımlanan tehdit aktörü, 17 Ocak 2026’da dört kötü amaçlı sürüm (1.2.3’ten 1.2.6’ya kadar) yayınladı ve bu sürümler, ilk gün içinde 1.000’den fazla indirmeye ulaştı.
Socket’in Tehdit Araştırma Ekibi kötü amaçlı bir PyPI paketi tespit etti. sympy-devtaklit eden SymPyayda yaklaşık 85 milyon indirmeyle yaygın olarak kullanılan bir sembolik matematik kütüphanesidir.
Bellek İçi Yürütme Algılamayı Azaltır
Arka kapı, geliştiricilerin belirli SymPy polinom fonksiyonlarını kullanarak kötü amaçlı kodları rutin matematik işlemlerine yerleştirmeleri durumunda etkinleşir.
Tetiklemenin ardından, tehlikeye atılan işlevler, komut ve kontrol altyapısından uzak bir JSON yapılandırma dosyasını alır, tehdit aktörü tarafından kontrol edilen bir ELF yükünü indirir ve bunu Linux’un memfd_create sistem çağrısını ve /proc/self/fd referanslarını kullanarak doğrudan bellekten çalıştırır.
Bu teknik, diskteki yapaylıkları önemli ölçüde azaltarak geleneksel dosya tabanlı algılama yöntemlerini daha az etkili hale getirir.
Yükleyici, normal SymPy işlevselliğinin bozulmasını önlemek ve aktif geliştirme veya üretim iş yükleri sırasında gizliliği korumak için hata mesajlarını bastırarak sessizce çalışır.
Socket’in dinamik analizi iki XMRig kripto madencilik ikili dosyasını kurtardı (SHA-256: 90f9f8842ad1b824384d768a75b548eae57b91b701d830280f6ed3c3ffe3535e ve f454a070603cc9822c8c814a8da0f63572b7c9329c2d1339155519fb1885cd59) canlı yürütmelerden.
Her iki veri de UPX paketlidir ve 3333 numaralı bağlantı noktasında TLS üzerinden aktör kontrollü Stratum uç noktalarını tehdit etmek için kripto para madenciliği yapar.
Ancak Python tabanlı yükleyici, Python işlem ayrıcalıkları altında rastgele kod yürütebilen genel amaçlı bir dağıtım mekanizması olarak işlev görür ve bu da onu fidye yazılımı, veri sızıntısı veya kalıcı arka kapılar için uygun hale getirir.
Sürüm 1.2.6,roots_cubic() işlevine ikinci bir tetikleyici ekleyerek, ayrı altyapıya işaret ederek, çeşitli iş yükleri genelinde etkinleştirme olasılığını artırarak ve bir komut ve kontrol sunucusunun çevrimdışı olması durumunda operasyonel esneklik sağlayarak yedeklilik sağlar.
Azaltmalar
Raporlama sırasında sympy-dev, Socket’in kaldırılmasına yönelik dilekçesine rağmen PyPI paketi üzerinde aktif olmaya devam ediyor.
Kuruluşlar, sympy-dev referansları için bağımlılık dosyalarını derhal denetlemeli, bütünlük kontrolleriyle bağımlılık sabitlemeyi uygulamalı, kurulumları incelenen dizinler veya dahili aynalarla sınırlamalı ve beklenmedik giden bağlantılar yapan veya bellek tarafından yürütülen veriler üreten Python işlemlerini izlemelidir.
Socket’in GitHub Uygulaması, CLI, Güvenlik Duvarı, tarayıcı uzantısı ve MCP entegrasyonunu içeren güvenlik araçları, birleştirme öncesinde yazım hatalarını işaretleyerek, kurulum sırasında kötü amaçlı paketleri engelleyerek ve göz atma oturumları sırasında geliştiricileri şüpheli listeler konusunda uyararak kapsamlı koruma sağlar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.