Giriş
Son günlerde, TeamPCP hacker grubunun Python Package Index (PyPI) üzerindeki Telnyx paketini hedef alarak kötü niyetli sürümler yüklemesi, yazılım tedarik zincirine yönelik ciddi bir tehdit oluşturmuştur. Bu saldırılar, hem gelişmiş siber güvenlik tehditlerini hem de geliştiricilerin yazılımlarını güvenli bir şekilde yönettikleri sürecin önemini vurgulamaktadır.
Saldırı Nasıl Çalışıyor?
TeamPCP, Telnyx paketlerinin 4.87.1 ve 4.87.2 sürümlerini kötü niyetli kodla yükledi. Bu sürümler, aşağıdaki yollarla kullanıcıların verilerini hedef alıyor:
- Linux ve macOS: Kötü niyetli sürüm, SSH anahtarları, kimlik bilgileri, bulut token’ları, kripto para cüzdanları ve çevresel değişkenler gibi hassas verileri çalan bir kötü amaçlı yazılımı devreye alıyor.
- Windows: Kötü amaçlı yazılım, her girişte çalışacak şekilde başlangıç klasörüne yerleştiriliyor.
Kötü niyetli kod, ‘telnyx/_client.py’ dosyasında barındırılıyor ve import edilirken otomatik olarak çalışıyor. Bu süreçte, meşru SDK sınıflarının normal işleyişini bozmuyor.
Kötü niyetli yük, XOR tabanlı basit bir şifre çözme rutini kullanılarak çıkarılıyor ve bellek üzerinde çalışarak hassas verileri topluyor. Kubernetes çalışıyorsa, malware, cluster gizli bilgilerini sıralıyor ve ayrıcalıklı pod’ları dağıtıyor.
Etkilenen Sistemler
Telnyx paketi, Python için resmi bir yazılım geliştirme kiti (SDK) olarak bilinen bir pakettir ve aşağıdaki gibi popüler özelliklere sahiptir:
- VoIP iletişimi
- SMS, MMS, WhatsApp mesajlaşması
- Faks gönderimi
- IoT bağlantısı
Ayrıca, bu paket her ay 740,000‘den fazla indirme alıyor. Saldırının, PyPI üzerindeki yayın hesabının çalınması yoluyla gerçekleştirildiği düşünülmektedir.
Çözüm ve Korunma
Araştırmacılar, Telnyx SDK sürümü 4.87.0‘ın temiz bir versiyon olduğunu belirtmektedir. Geliştiricilerin, sistemlerinde 4.87.1 ve 4.87.2 sürümlerini bulmaları durumunda bu sürüme geri dönmeleri şiddetle tavsiye edilmektedir.
Etkilenen sistemlerin durumları şöyle özetlenebilir:
- Tüm sistemler, kötü niyetli paketleri içerenler dahil, tamamen tehlikeye atılmış olarak değerlendirilmelidir.
- Hızla tüm gizli bilgilerinizi yenileyin.
Kötü niyetli yazılımın çalışmaları sırasında, hassas bilgilerinizi dışarıya sızdırmış olabileceğinizi unutmayın.
Sonuç
Eğer Telnyx versiyonlarını güncellediyseniz veya bu sürümleri kullanan bir uygulamanız varsa hemen gerekli adımları atmalısınız. Güncelleme yapın, şüpheli aktiviteleri izleyin ve sistemlerinizi hızlı bir şekilde tarayarak olası sızıntıları ortadan kaldırın. Unutmayın ki siber güvenlik, her zaman proaktif bir yaklaşım gerektirir.
