Siber güvenlik araştırmacıları, Python Paket Dizin (PYPI) deposunda, kalıcılık oluşturmasına ve kod yürütülmesine izin veren bir bağımlılık yoluyla kötü niyetli davranışlar getiren kötü niyetli bir paket keşfettiler.
Paket, adlandırılmış termncolorhain işlevselliğini bir bağımlılık paketi ile gerçekleştirir koloral Çok aşamalı bir kötü amaçlı yazılım operasyonu aracılığıyla Zscaler Tehditlabz. Termncolor 355 kez indirilirken, Colorinal 529 indirme çekti. Her iki kütüphane de PYPI’da mevcut değil.
Araştırmacılar Manisha Ramcharan Prajapati ve Satyam Singh’e göre, “Bu saldırı, şifre çözmeyi kolaylaştırmak, kalıcılığı sağlamak ve uzaktan kod yürütmesiyle biten komuta ve kontrol (C2) iletişimi yürütmek için DLL yan yüklemeden yararlanabilir.”
Kurulduktan ve yürütüldükten sonra Termncolor, Colorinal’i içe aktarmak için tasarlanmıştır, bu da gelecek aşamalı yükü çözmekten ve çalıştırmaktan sorumlu bir haydut DLL yükler.
Özellikle, yük, meşru bir ikili “vcpktsvr.exe” ve DLL yan yükleme kullanılarak başlatılan “libceef.dll” adlı bir DLL dağıtır. DLL, etkinliği gizlemek için bir açık kaynaklı sohbet uygulaması olan Zulip’i kullanarak sistem bilgilerini toplayabilir ve C2 sunucusuyla iletişim kurabilir.
Zscaler, “Kalıcılık, sistem başlangıçta kötü amaçlı yazılımların otomatik olarak yürütülmesini sağlamak için Windows Run tuşu altında bir kayıt defteri girişi oluşturarak elde edilir.” Dedi.
Kötü amaçlı yazılım ayrıca Linux sistemlerini enfekte edebilir, Python kütüphaneleri aynı işlevselliği ortaya çıkarmak için “Sona” adlı paylaşılan bir nesne dosyasını bırakır.
Tehdit Actor’ın Zulip etkinliğinin daha fazla analizi, oluşturulan kuruluşta üç aktif kullanıcıyı ortaya çıkardı ve platformda toplam 90.692 mesaj değiştirildi. Kötü amaçlı yazılım yazarının 10 Temmuz 2025’ten beri aktif olduğuna inanılıyor.
Şirket, “Termncolor paketi ve kötü niyetli bağımlılığı, potansiyel tedarik zinciri saldırıları için açık kaynaklı ekosistemlerin izlenmesinin önemini vurguluyor.” Dedi.
Açıklama, Slowmist’in tehdit aktörlerinin, iCloud anahtar zincirini, web tarayıcısını ve kriptourrens cüzdan verilerini hasat edebilen bir GitHub deposunu klonlamak için bir iş değerlendirmesi kisvesi altında geliştiricileri hedeflediklerini ve ayrıntıları bir dış sunucuya yaymak için hedeflediklerini ortaya koyuyor.
NPM paketleri ayrıca Python komut dosyalarını indirmek ve çalıştırmak, sistem bilgilerini yakalamak, hassas dosyalar için dosya sistemini taramak, kimlik bilgileri çalmak, günlük tuş vuruşlarını almak ve ekran görüntülerini almak ve pano içeriğini izlemek için tasarlanmıştır.
Şimdi NPM’den kaldırılan tanımlanmış paketlerin listesi aşağıdadır –
- Redux-Ace (163 indirme)
- RTK-Logger (394 indirme)
Son aylarda, enfekte sistemlerden gelen bilgileri dışarı atmak için Dropbox gibi meşru hizmetleri kullanarak, bağımlı bir paket aracılığıyla veri hırsızlığı ve kripto para madenciliğini kolaylaştırmak için siber güvenlik topluluğunu hedefleyen kötü niyetli NPM paketleri tespit edilmiştir.
Datadog araştırmacıları Christophe Tafani-Dereeper ve Matt Muir’in belirttiği bu paketler, güvenlik kusurları için kötü niyetli kavram kanıtı (POC) kodu veya performans iyileştirmeleri sunan bir çekirdek yaması altında hedeflere dağıtılıyor. Etkinlik, Mut-1244 olarak izlediği bir tehdit oyuncusuna atfedildi.
Geliştirme ayrıca, otomatik bağımlılık yükseltmeleri ile ilişkili riskleri ortaya çıkaran, özellikle de binlerce başka proje tarafından tehlikeye atılan bir proje kullanıldığında, yazılım tedarik zincirine yönelik riskleri artıran bir raporu izlemektedir.
Bu, isimsiz saldırganların zehirli sürümleri, ilgili Github deposunda herhangi bir kaynak kodu taahhütü veya çekme istekleri olmadan doğrudan NPM kayıt defterine itmesine izin veren bir kimlik avı saldırısı yoluyla Eslint-Config-Prettier NPM paketinin son uzlaşmasıyla örneklenir.
Yazılım tedarik zinciri güvenlik şirketi, 14.000’den fazla paketin Eslert-Config-Prettier’ı doğrudan bağımlılık olarak ilan ettiğini, onu bir geliştirici olarak ilan etmek yerine, GitHub eylemleri gibi otomatik eylemlerin, Deptebot tarafından verilen bağımlılık güncelleme uyarılarını, bunları incelemeden otomatik olarak birleştirmesine neden olduğunu buldu.
Güvenlik araştırmacısı Karlo Zanki, “Bu, kod biçimlendirme için kullanılan bir geliştirme aracı için bir yapılandırma olduğundan, kullanıldığı paketler arasında bir sapma olarak ilan edilmesi beklenebilir ve bu nedenle NPM yükleme komutu normal bağımlılıklarda olduğu gibi yürütüldüğünde otomatik olarak yüklenmemelidir.” Dedi.
“D’inTABOT gibi otomatik sürüm yönetimi araçları, kod tabanınızda güvenlik sorunları ile bağımlılık yapma riskini artırmak için tasarlanmıştır, ancak […] İronik bir şekilde, kötü niyetli uzlaşma gibi daha büyük güvenlik sorunları sunabilirler. “