Pozitif Teknolojiler Uzman Güvenlik Merkezi (PT ESC) yakın zamanda Python Paket Endeks (PYPI) deposunu hedefleyen kötü niyetli bir kampanya ortaya çıkardı.
Kampanya, hassas kullanıcı verileri ve çevre değişkenleri toplamak için tasarlanmış Deepseeek ve Deepseekai adlı iki paket içeriyordu.
Bu paketler, özellikle geliştiricileri ve AI meraklılarını hedefleyen AI ve makine öğrenme araçlarına artan ilgiden yararlandı.
“BVK” takma adı altında bir kullanıcı tarafından düzenlenen saldırı 29 Ocak 2025’te başladı.
Hesap, Haziran 2023’teki yaratılışından bu yana hareketsizdi ve kökeni hakkında kırmızı bayraklar yükseltti.
Kullanıcılar ilgili paketlerle ilişkili komutları yürüttüğünde, paketlere gömülü kötü amaçlı yük yükü etkinleşir.
Tetiklendikten sonra, yük API anahtarları, kimlik bilgileri ve çevre değişkenlerinde depolanan erişim belirteçleri gibi hassas verileri toplar.
Bu değişkenler, uygulama işlevlerinin sağlanmasında ve altyapı kaynaklarına erişmede kritik bir rol oynar.
Her iki paket de, çalınan verileri iletmek için komut ve kontrol (C2) sunucusu olarak bir geliştirici entegrasyon platformu olan Pipedream’i kullandı.
Senaryoyu analiz etmek, karakteristik kod içi yorumlardan görülen AI’nın yardımıyla kısmen oluşturulduğunu ortaya koydu.
Saldırı Zinciri
Deepseek paketi ilk olarak 29 Ocak’ta 15:52 UTC’de yüklendi, kısa bir süre sonra Deepseek AI izledi.
PT ESC araştırmacıları 30 dakika içinde paketleri kötü niyetli ve bilgilendirilmiş Pypi yöneticileri olarak işaretledi, bu da onları hızla karantinaya aldı.
16:41 UTC’ye kadar Deepseeek paketi kaldırıldı, ardından kısa bir süre sonra Deepseekai’nin silindi.
Hızlı yanıt vermesine rağmen, paketler kaldırılmadan önce birkaç kez indirildi.
Pypi’nin günlükleri, ABD, Çin, Rusya ve Almanya da dahil olmak üzere çeşitli ülkelerde 222 indirme ortaya koyuyor.
İndirmeler, PIP, BandersNatch ve manuel tarayıcı erişimi dahil olmak üzere çeşitli yöntemlerle gerçekleşti.
Amerika Birleşik Devletleri indirmelerin çoğunu oluşturdu ve bunu Çin ve Rusya izledi.
Kampanya özellikle sofistike olmasa da, siber suçluların şüphesiz kullanıcıları aldatmak için trend teknolojilerini nasıl kullandıkları konusunda uyarıcı bir hikaye görevi görüyor.
Deepseek gibi AI araçları popülerlik kazandıkça, saldırganlar bu tür fırsatlardan yararlanmaya devam edecekler.
Neyse ki, PT ESC’nin PY Pyanalysis Aracı, PYPI’yi gerçek zamanlı olarak şüpheli aktivite için izlemek için tasarlandı, önemli zararlar ortaya çıkmadan önce bu paketlerin ortaya çıkarılmasında çok önemli bir rol oynadı.
Geliştiricilere ve güvenlik ekiplerine, yeni yayınlanan PYPI paketlerini iş akışlarına entegre ederken artan dikkatli olmaları tavsiye edilir.
Paket bakımcılarının güvenilirliğini doğrulayın ve şüpheli etkinlikleri işaretlemek için otomatik araçlar kullanın.
Siber güvenlik manzarası gelişmeye devam ettikçe, uyanıklık tedarik zinciri tehditlerine karşı en iyi savunma olmaya devam ediyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free