TELNYX PYPI PAKETİNE YERLEŞTİRİLEN ARKA KAPI WAV DOSYASIYLA GİZLENEN ZARARLI YAZILIM DAĞITTI
Python Package Index’te (PyPI) yer alan Telnyx yazılım paketine sızan saldırganlar, zararlı kodu WAV ses dosyası içine gizleyerek geliştiricileri hedef aldı. Uzmanlar, etkilenen sistemlerin tamamen ele geçirilmiş sayılması gerektiğini belirterek acil önlem çağrısı yaptı.
Siber güvenlik firmaları, Telnyx Python paketine yönelik gerçekleştirilen tedarik zinciri saldırısında, zararlı yazılımın WAV ses dosyası içine gizlenerek dağıtıldığını açıkladı. Saldırının, daha önce benzer operasyonlarla ilişkilendirilen TeamPCP adlı tehdit aktörü tarafından gerçekleştirildiği değerlendirildi.
Aikido, Socket ve Endor Labs araştırmacıları, saldırganların Telnyx paketinin 4.87.1 ve 4.87.2 sürümlerine arka kapı yerleştirdiğini tespit etti. Söz konusu paketin, aylık 740 binden fazla indirme sayısına sahip olması, tehdidin geniş bir geliştirici kitlesini etkileyebileceğine işaret etti.
“Zararlı kod ses dosyasına gizlendi”
Araştırmacılar, saldırının teknik detaylarına ilişkin şu bilgileri paylaştı:
“Zararlı yük, WAV dosyasının veri çerçeveleri içine steganografi yöntemiyle gizlendi. Ses dosyasının yapısı bozulmadan, kötü amaçlı kod sistemde çalıştırılabiliyor.”
Uzmanlar, bu yöntemin tespit edilmesini zorlaştırdığına dikkat çekerek, zararlı kodun XOR tabanlı bir çözme tekniğiyle bellek içinde çalıştırıldığını ifade etti.
Geliştirici ortamları hedef alındı
Saldırı kapsamında, zararlı kodun ‘telnyx/_client.py’ dosyası üzerinden otomatik olarak tetiklendiği ve kütüphane içe aktarıldığında devreye girdiği belirtildi. Bu sayede, uygulama normal şekilde çalışmaya devam ederken arka planda veri sızıntısı gerçekleşti.
Linux ve macOS sistemlerde zararlı yazılımın:
-
SSH anahtarlarını
-
Kimlik bilgilerini
-
Bulut erişim token’larını
-
Kripto para cüzdanlarını
-
Ortam değişkenlerini
topladığı bildirildi.
Windows sistemlerde ise farklı bir yükün indirilerek başlangıç klasörüne yerleştirildiği ve kalıcılık sağladığı kaydedildi.
Kubernetes sistemlerine sızma girişimi
Araştırmada, zararlı yazılımın Kubernetes ortamlarını da hedef aldığı belirtildi. Buna göre zararlı kodun,
“Kubernetes küme gizli verilerini tespit ederek ayrıcalıklı pod’lar dağıttığı ve ana sistemlere erişim sağlamaya çalıştığı.” aktarıldı.
Hesap ele geçirilmiş olabilir
Uzmanlar, saldırının büyük olasılıkla PyPI üzerindeki yayıncı hesabının ele geçirilmesiyle gerçekleştirildiğini değerlendirdi. İlk olarak yayımlanan 4.87.1 sürümünün hatalı olduğu, saldırganların kısa süre içinde 4.87.2 sürümüyle zararlı yükü düzelttiği ifade edildi.
Güvenlik araştırmacıları, 4.87.0 sürümünün güvenli olduğunu vurgulayarak geliştiricilere şu uyarıyı yaptı:
“Eğer sistemlerinizde zararlı sürümler çalıştırıldıysa, bu sistemler tamamen ele geçirilmiş kabul edilmelidir. Tüm kimlik bilgileri ve erişim anahtarları derhal değiştirilmelidir.”
Ajans Expres Gazetesi
