Siber güvenlik uzmanları, Zscaler Tehditlabz’dan yakın zamanda yapılan bir açıklamada Python Paket Endeksi’nden (PYPI) kaynaklanan karmaşık bir tedarik zinciri saldırısı keşfetti.
Söz konusu paket, “Termncolor” olarak adlandırılan Python terminalleri için iyi huylu bir renk faydası olarak maskelenir, ancak “Colorinal” adlı kötü niyetli bir bağımlılığı gizlice ithal eder.
Bu bağımlılık, ilk enfeksiyon vektörü olarak işlev görür ve DLL kenar yükleme, AES şifreli yükler ve gizlenmiş komut ve kontrol (C2) iletişimini kullanan çok aşamalı bir kötü amaçlı yazılım dağıtımını tetikler.
Saldırı zinciri, “Unicode.py” nin yürütülmesi ile başlar ve “COLANINAL” içinde “Terminat.dll” adlı gömülü bir DLL dosyası yükler.
Bu DLL, kötü amaçlı yazılımların hedef sisteme gizli entegrasyonunu sağlayarak sonraki yükleri şifresini çözer ve dağıtır.
Kötü niyetli tedarik zinciri saldırısı vektörü
Özellikle, her iki paket de keşiften sonra PYPI’dan çıkarıldı ve tehdit aktörlerinin silahlı kodu dağıtmak için bağımlılık ağaçlarından yararlandığı açık kaynaklı ekosistemlerde devam eden risklerin altını çizdi.
Teknik diseksiyon, “termncolor” in ilk muayenede zararsız göründüğünü ve sadece açık kötü niyetli göstergeler olmadan bir terminal boyama aracı olarak işlev gören zararsız göründüğünü ortaya koymaktadır.
termncolor paketiBununla birlikte, “coligeninal” konusuna güvenmesi, yükü, ctypes.cdll kitaplığını kullanan “unicode.py” de “iS_color_supported” yöntemi aracılığıyla “sonlandırma.dll” yükünü yüklemek için tanıtmaktadır.
DLL, os.path.dirname (dosya) ve UTF-8 kodlu bir dizeyi “xterminalunicode” geçirerek dışa aktarılan bir “envir” işleviyle arayüz oluşturur.
Bu etkileşim, şifre çözme işlemini aynı anda başlatırken terminal özelliklerini sorgular.
Aynı “xterminalUnicode” tuşuyla CBC modunda AE’leri kullanan “Sonuç.dll” iki kritik dosyayı ortaya çıkarır: meşru imzalı yürütülebilir bir “vcpktsvr.exe” ve kötü niyetli bir “libcef.dll”.
Bunlar, “vcpktsvr.exe” nin dll sideloading’i gizlice yürütmesini kolaylaştırdığı %localAppdata %\ vcpacket dizininde sahnelenir. Tespitten kaçınmak için, adli ayak izlerini en aza indirerek, “unicode.py” ve “sonlandırma.
Çok aşamalı yürütme
İkinci aşamaya ilerleyen “libceef.dll”, HTTPS aracılığıyla biçimlendirilmiş ve bir C2 sunucusuna iletilen bilgisayar adı, kullanıcı adı ve işletim sistemi sürümü gibi ayrıntıları toplayarak sistem keşiflerini düzenler.
İletişim, ağ tabanlı algılamayı önlemek için iyi huylu trafiğe karışarak meşru zulip mesajlaşma modellerini taklit eder.
Kalıcılık, HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run altında bir kayıt defteri değişikliği ile ustaca elde edilir ve başlangıçta “vcpktsvr.exe” otomatik olarak uygulayan “PKT-Update” adlı bir giriş oluşturur.
Bu Windows anahtar sömürüsü, uzun vadeli ikamet sağlar ve kötü amaçlı yazılımın API’leri özel bir karma algoritması kullanarak çözmesine izin verir, ASCII değerlerine, çarpma ve DLL ve API adlarını gizlemek için bitsel işlemlere dayalı hafif bir işlevi, böylece statik analizi zorlaştırır.
Tehdit, Windows işlevselliğini çoğaltmak için paylaşılan bir nesne dosyası olarak “sonlandırma.so” kullanan bir Linux varyantı ile platformlar arası özelliklere kadar uzanır.
Zulip Analytics aracılığıyla tehdit aktör profili, mesaj iletimi için ağır Python API kullanımı ile “[email protected]” ve kullanıcı kimliği 937950 e -postasını içeren 10 Temmuz 2025 civarında başlayan işlemleri gösterir.
C2 altyapısı artık çevrimdışı olmasına rağmen, etkinlik, özel kanallarda 90.692 mesajı kapsayarak etkinlik zirveye çıktı.
Rapora göre, Zscaler’ın bulut sanal alan da dahil olmak üzere savunmaları, bu tür müdahalelere karşı çok katmanlı koruma sağlayan python.backdoor.pypi ve win64.backdoor.xterminal gibi tehdit adları altında ilgili göstergeleri tespit ediyor.
Bu olay, saldırganların şifre çözme, yan yükleme ve RCE bağımlılıklarını silahlandırdığı ve geliştirme boru hatlarında titiz paket veterinerlik ve çalışma zamanı izleme ihtiyacını vurguladığı tedarik zinciri tehditlerinin gelişen sofistike olmasını örneklendiriyor.
Uzlaşma Göstergeleri (IOCS)
| MD5 | İsim |
|---|---|
| 381022E5FD0ADEE7146F9922E1ED30A3 | libcef.dll |
| 9267D9A72207DF3217014F206BA18560 | vcpktsvr.exe |
| 1995682d600e329b783003a01609252 | sonlandırma.dll |
| C5F0425DABD01D7BA80DFC3D5CA19841 | Colorinal Paket (.Whl – Pypi) |
| 7857238199018edc0ad7cd4d81c5a9b | Termncolor (.whl paketi – pypi) |
| 5152410AEF667FFAF42D40746AF4D84 | Linux Python Paketi |
| 38B75AF6CBDB60127DECD59140D10640 | Terminal.So |
| db69c6bfbf6575e0d887351265165e6e | Kötü niyetli elf arka kapısı |
| C2: Helper.zulpichat.com |
AWS Security Services: 10-Point Executive Checklist - Download for Free