Giriş
Sonbahar 2022’den beri aktif olan bir kampanya, Python geliştiricilerini Telegram botları oluştururken hedef alarak, sunucularda dosyaları okumalarına olanak tanıyan trojanlı Pyrogram forkları yayımlamaktadır. Bu durum, kullanıcıların veri bütünlüğünü ve güvenliğini tehdit eden ciddi bir siber güvenlik riski oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
CVE-2025-XXXX ve CVE-2026-YYYY kodları ile tanımlanan bu saldırı, Pyrogram üzerine inşa edilmiş tehlikeli forkları kapsamaktadır. Araştırmalar, kötü niyetli aktörlerin Operation Navy Ghost adını verdikleri bir kampanya kapsamında, aşağıdaki zararlı Pyrogram forklarını Python Paket Endeksi’nde (PyPI) yayımladığını göstermektedir:
- VLifeGram (dokuz versiyon, 4,150 indirme)
- VLife-Gram (beş versiyon, 1,030 indirme)
- pyrogram-navy (altı versiyon, 2,530 indirme)
- pyrogram-styled (on altıdan fazla versiyon, 15,370 indirme)
- pyrogram-zeeb (bir versiyon, 432 indirme)
- kelragram (üç versiyon, 1,041 indirme)
- sepgram (bir versiyon, 264 indirme)
- pyrogram-kelra (bir versiyon, 672 indirme)
Tüm bu paketler, Pyrogram projesinin meşru forklarıdır ve orijinal kaynak kodunu içermektedir. Ancak, tehdit aktörleri secret.py adında bir arka kapı ekleyerek yazılımlarını tehlikeli hale getirmiştir. Bu dosya, enfekte olmuş bot başlatıldığında gizli Telegram komut yöneticileri kaydederek, saldırganın sağladığı Python kodunu veya shell komutlarını çalıştırma imkânı tanır.
Etkilenen Sistemler
Kötü niyetli dosya, Telegram botu başlatıldığında aktifleştirilen gizli komutları içerir. Araştırmalara göre:
– Saldırgan, “/asu print(os.environ)” komutunu gönderdiğinde, bu işlev belirtilen Python kodunu kurbanın makinesinde derleyip çalıştırır.
– Ayrıca, “/asi cat /etc/passwd” komutu ile kurbanın sunucusundaki dosya içeriklerini elde etmek mümkündür.
Tehdit aktörleri, Telegram bot hesaplarını hedef alarak, veritabanlarına, kimlik bilgilerine, bulut API’lerine ve hassas altyapılara erişim sağlamayı amaçlamaktadır.
Çözüm ve Korunma
Elde edilen veriler, Telegram mesajları yoluyla saldırganlara retourne edilir. Eğer dönen veri 4096 byte’tan fazla ise, bu bilgi belgedeki ek olarak gönderilmektedir. Arka kapı, bir “OWNERS” listesi içeriyor ve bu liste saldırganlara özel kontrol sağlıyor.
Geliştiricilerin, bu paketleri indirmiş olmaları durumunda aşağıdaki adımları izlemeleri kesinlikle önerilir:
- Paketleri hemen kaldırın.
- Etkilenen sunucudaki tüm kimlik bilgilerini değiştirin.
- Telegram bot token’larını iptal edin.
Ayrıca, Checkmarx, zararlı Telegram ID’leri ve saldırgan profillerine ait URL’lerin göstergelerini yayımlamıştır.
Sonuç
Bu tehditler, siber güvenliği ihlal etme potansiyeli taşıdığı için, geliştiricilerin söz konusu paketlerin kullanımlarını derhal durdurmaları ve yukarıda belirtilen adımları izlemeleri oldukça önemlidir. Güncel kalmak ve güvenlik açıklarından korunmak adına yazılımların sürekli izlenmesi gerekmektedir.
