Giriş
Son zamanlarda, TeamPCP isimli tehdit aktörü, Trivy, KICS ve litellm araçlarını hedef alan bir tedarik zinciri saldırısıyla gündeme geldi. Bu saldırılar, yazılım geliştirme süreçlerini risk altına sokarak, hassas verilerin çalınmasına neden olabiliyor.
Saldırı Nasıl Çalışıyor?
TeamPCP, telnyx Python paketini iki kötü amaçlı sürüm (4.87.1 ve 4.87.2) yükleyerek ele geçirdi. Bu sürümler, 27 Mart 2026’da Python Package Index (PyPI) deposuna yerleştirildi ve hassas bilgileri toplamak için bir .WAV dosyası içinde gizli doğrulama mekanizmaları barındırıyor. Kullanıcılara, derhal 4.87.0 sürümüne geçmeleri önerilmektedir. PyPI projesi şu anda karantina altındadır.
Socket’dan alınan verilere göre, Linux ve macOS sistemlerde üç aşamalı bir saldırı zinciri bulunuyor. Bu zincir:
- Ses steganografisi ile kötü amaçlı yazılımın teslimatı,
- Veri toplayıcı’nın bellekte çalıştırılması,
- Şifreli veri dışa aktarımı.
Saldırı, geçici bir dizin içinde çalışarak, ev sahibi sistemde neredeyse sıfır delil bırakacak şekilde tasarlanmıştır.
Windows ortamında ise, kötü amaçlı yazılım “hangup.wav” adlı bir dosyayı komut kontrol sunucusundan (C2) indirir ve bu ses verisinden bir yürütülebilir dosya çıkartarak, bunu “msbuild.exe” adıyla Başlangıç klasörüne yerleştirir. Bu, sistem yeniden başlatıldığında bile kötü amaçlı yazılımın çalışmasına olanak tanır.
Etkilenen Sistemler
Saldırının hedefleri arasında, Windows, Linux ve macOS sistemleri bulunmaktadır. Linux ve macOS için, saldırganlar komut kontrol sunucusundan “ringtone.wav” adlı bir dosya indirerek üçüncü aşama toplayıcı betiğini çalıştırıyorlar. Bu toplayıcı, çok çeşitli hassas verileri kaydedip “tpcp.tar.gz” şeklinde HTTP POST isteğiyle 83.142.209[.]203:8080 adresine dışa aktarıyor.
Çözüm ve Korunma
Bu tehlikenin etkilerini azaltmak için geliştiricilerin aşağıdaki önlemleri alması önerilmektedir:
- Python ortamlarınızı ve requirements.txt dosyalarını telnyx==4.87.1 veya telnyx==4.87.2 sürümleri için denetleyin. Bulursanız, temiz bir sürümle değiştirin.
- Tehdit altındasınız varsayarak tüm gizli anahtarları yenileyin.
- Windows Başlangıç klasöründe “msbuild.exe” adlı bir dosya olup olmadığını kontrol edin.
- C2 ve dışa aktarım alanlarını (örn. 83.142.209[.]203) engelleyin.
Bu saldırı, TeamPCP’nin tedarik zinciri üzerinde yürüttüğü daha geniş bir kampanyanın parçasıdır ve siber suç gruplarının tedarik zinciri saldırılarını hedef alarak daha geniş bir etki alanı yaratmayı amaçladığını göstermektedir. Geliştiricilerin, CI/CD ortamlarında güvenliği artırmaları ve potansiyel giriş noktalarını kapatmaları kritik öneme sahiptir.
