Python geliştiricilerini hedefleyen sofistike bir tedarik zinciri saldırısı, Termncolor adlı görünüşte zararsız bir paketle ortaya çıktı ve bu da uzlaşmış sistemlere kalıcı erişim sağlamak için tasarlanmış çok aşamalı bir kötü amaçlı yazılım işlemini gizledi.
Python Paket Dizini (PYPI) aracılığıyla dağıtılan kötü niyetli paket, meşru bir terminal renk faydası olarak maskelenirken, kalıcılık için DLL sideloading tekniklerinden ve Windows kayıt defteri manipülasyonundan yararlanan gelişmiş arka kapı özelliklerini kullanır.
Saldırı, şüpheli olmayan geliştiriciler, kötü niyetli bağımlılığını otomatik olarak içe aktaran Termncolor paketini kurduğunda başlar.
Bu ikincil paket, uzaktan kod yürütme ve sistem uzlaşmasıyla sonuçlanan dikkatle düzenlenmiş bir dizi işlem kullanan saldırı zinciri için gerçek giriş noktası görevi görür.
.webp)
Kötü amaçlı yazılım tasarımı, geleneksel güvenlik araçlarının algılanmasını önlemek için meşru görünümlü bileşenlerin kullanımı ve şifreli yükler de dahil olmak üzere sofistike kaçaklama tekniklerini gösterir.
Zscaler araştırmacıları, Python paketi tarama veritabanlarının rutin izlenmesi sırasında 22 Temmuz 2025’te kötü niyetli paketi belirlediler.
Keşif, kötü niyetli trafiği gizlemek için meşru mesajlaşma platformlarını taklit eden gelişmiş komut ve kontrol iletişim kalıplarını içeren basit arka kapı işlevselliğinin ötesine uzanan karmaşık bir saldırı altyapısı ortaya çıktı.
Araştırmacılar, hem Termncolor hem de Colorinal’in o zamandan beri PYPI’dan çıkarıldığını, ancak tehdit açık kaynaklı yazılım tedarik zinciri saldırılarıyla ilişkili devam eden riskleri gösterdiğini belirtti.
Kötü amaçlı yazılımın etkisi, her işletim sistemi için özel varyantlar ile hem Windows hem de Linux ortamlarında uzanır.
Saldırının karmaşıklığı, sosyal mühendislik taktiklerini hedeflerine ulaşmak için teknik hassasiyetle birleştirerek çok katmanlı yaklaşımında yatmaktadır.
Kötü niyetli bileşenler arka planda sessizce çalışırken, renk faydası normal olarak çalıştığından, ilk enfeksiyonlar iyi huylu görünebilir, bu da tespiti özellikle otomatik tarama araçlarına dayanan kuruluşlar için zorlaştırır.
Kalıcılık mekanizması ve kayıt defteri manipülasyonu
Bu kötü amaçlı yazılımların operasyonunun en kritik yönü, yeniden başlatıldıktan sonra bile sistem erişimini sağlayan sofistike kalıcılık mekanizmasına odaklanmaktadır.
İlk Colorinal Paket yürütüldükten sonra, sonlandırma.dll adı verilen gömülü bir DLL yükleyen Unicode.py dosyasını tetikler.
Bu DLL, hedef sisteme iki anahtar dosyayı şifresini çözmek ve dağıtmak için CBC modunda AES şifrelemesini kullanan birincil damlalık bileşeni olarak hizmet eder.
Kalıcılık stratejisi, HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run Kayıt Defteri Anahtarı altında “PKT-Update” adlı bir giriş oluşturan klasik bir Windows Kayıt Defteri Modifikasyon Tekniği kullanır.
Bu giriş, kötü amaçlı yazılımın %localAppData %\ vcpacket dizinine düştüğü meşru olarak imzalanmış bir yürütülebilir dosyası olan VCPKTSVR.EXE’ye işaret eder. İmzalı bir yürütülebilir dosyanın kullanılması, güvenlik incelemesinden kaçmaya yardımcı olan ek bir meşruiyet katmanı sağlar.
Kötü amaçlı yazılımların gerçek yükü, vcpktsvr.exe’ye eşlik eden ve DLL kenar yükleme yoluyla yürütülen libcef.dll’de bulunur.
Bu teknik, Windows DLL arama sırasından yararlanır ve kötü amaçlı kütüphanenin kalıcı arka kapı erişimini sürdürürken meşru bir bileşen olarak maskelenmesine izin verir.
Libcef.dll bileşeni, ağ trafiğini meşru ekip iletişimi olarak gizlemek için Zulip mesajlaşma platformunu kullanarak sistem keşif ve komuta ve kontrol iletişimini işler.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.