Giriş
Son zamanlarda, Kaspersky uzmanları tarafından keşfedilen bir dizi Python paketi, daha önce bilinmeyen bir kötü amaçlı yazılım olan ZiChatBot‘u stealth bir şekilde Windows ve Linux sistemlerine dağıtmak için tasarlandığı ortaya çıktı. Bu durum, yazılım tedarik zincirinin ne denli savunmasız olabileceğini göstermektedir.
Saldırı Nasıl Çalışıyor?
Bu kötü amaçlı yazılımın dağıtımında kullanılan paketler arasında şu isimler bulunmaktadır:
- uuid32-utils (1,479 indirme)
- colorinal (614 indirme)
- termncolor (387 indirme)
Tüm bu paketler, 16-22 Temmuz 2025 tarihleri arasında PyPI’ye yüklenmiştir. uuid32-utils ve colorinal benzer kötü amaçlı yükler kullanırken, termncolor masum bir görünüme sahiptir ve colorinal paketini bağımlılık olarak göstermektedir.
Windows sistemlerinde, yukarıdaki paketlerden herhangi biri yüklendiğinde, kötü amaçlı kod bir DLL dropper’ı (“terminate.dll”) çıkarır ve diske yazar. Kütüphane projeye import edildiğinde, DLL yüklenecek ve bu, ZiChatBot için bir dropper olarak görev yapacaktır. Ardından, Windows Kayıt Defteri’nde otomatik çalıştırma kaydı oluşturur ve kendisini ana sistemden siler.
Linux işletim sistemlerinde ise paylaşılan nesne dropper (“terminate.so”), kötü amaçlı yazılımı “/tmp/obsHub/obs-check-update” yoluna bırakır ve bir crontab kaydı oluşturur. Hangi işletim sisteminde çalışırsa çalışsın, ZiChatBot, C2 sunucusundan aldığı shell kodunu yürütmek üzere tasarlanmıştır. Komut çalıştırıldıktan sonra, yazılım başarılı olduğunu belirtmek için bir kalp emojisi gönderir.
Etkilenen Sistemler
Tespit edilen bu saldırının arkasında kimin olduğu henüz netlik kazanmış değil. Ancak Kaspersky, dropper’ın, Vietnam merkezli bir hacker grubu olan OceanLotus’un (aka APT32) kullandığı bir başka dropper ile %64 benzerlik gösterdiğini belirtiyor.
Geçtiğimiz 2024 yılının sonlarına doğru, tehdit aktörleri Çin siber güvenlik topluluğunu hedef alarak Visual Studio Code projelerini zehirleyip, Cobalt Strike eklentileri gibi göstererek trojan dağıttıkları gözlemlenmiştir. Analizler, bu kötü amaçlı yazılımın Notion not alma hizmetini C2 olarak kullandığını ortaya koymaktadır.
Çözüm ve Korunma
Etkili bir koruma için aşağıdaki önlemleri almanız önerilmektedir:
- Python paket yöneticinizi güncel tutun ve güvenilir kaynaklardan paketler indirin.
- Potansiyel olarak zararlı paketleri dikkatle inceleyin.
- Güvenlik yazılımlarınızı güncel tutun ve mevcut güvenlik politikalarını gözden geçirin.
- Otomatik çalıştırma kayıtlarını takip edin ve gerekirse devre dışı bırakın.
Sonuç
Kötü amaçlı yazılım saldırılarının önüne geçmek için sistemlerinizi düzenli olarak güncelleyin ve güvenlik önlemlerini sıkı tutun. Python paket kaynaklarını dikkatle değerlendirin ve gerekirse bilinmeyen paketlerden kaçının. Sadece güvenilir kaynaklardan indirme yaparak, olası bir zarara karşı kendinizi koruyun.
