Python Paketinde Bulunan Kötü Amaçlı Yazılım
Geliştiriciler için güvenli bir ortam sağlamak amacıyla kullanılan Python Paketleri Index (PyPI) üzerinde son günlerde dikkat çekici bir kötü amaçlı yazılım keşfedildi. “termncolor” adı verilen bu paket, bir bağımlılık aracılığıyla kötü amaçlı davranışları aktif hale getiriyor ve sistemde kalıcı hale gelerek kod çalıştırma yeteneğine sahip. Zscaler ThreatLabz tarafından gerçekleştirilen araştırmalara göre, bu kötü amaçlı yazılım, çok aşamalı bir saldırı süreci ile faaliyet gösteriyor.
Kötü Amaçlı Bağımlılıklar
“termncolor” paketinin kötü niyetli işlevselliği, “colorinal” adındaki bir bağımlılık üzerinden sağlanıyor. Söz konusu paket, toplamda 355 kez indirilirken, colorinal 529 kez indirildi. Ancak her iki paket de artık PyPI üzerinde mevcut değil. Bu gelişme, açık kaynak ekosistemlerinin izlenmesinin ne denli önemli olduğunu bir kez daha gözler önüne seriyor. Güvenlik araştırmacıları, bu tür saldırıların DLL yan yükleme işlemleri kullanarak sistemde kalıcılık sağladığını ve uzaktan kod çalıştırma yeteneği kazandığını belirtiyor.
Kötü Amaçlı Yazılımın Çalışma Prensibi
Kötü amaçlı yazılım bir kez yüklendikten sonra, “colorinal” paketini içe aktarır. Bu da, bir DLL dosyasını yükler ve bu dosya şifre çözme işlemlerini gerçekleştirerek sonraki aşama yükünü çalıştırır. Özellikle, “vcpktsvr.exe” adıyla bilinen bir ikili dosya ve “libcef.dll” isimli bir DLL, DLL yan yükleme yöntemi kullanılarak başlatılır. Bu durum, sistem bilgilerini toplamak ve C2 sunucusu ile iletişim kurmak için kullanılan Zulip adlı açık kaynaklı bir sohbet uygulaması aracılığıyla gerçekleşir.
Kurbanlar ve Hedef Sistemler
Bu kötü amaçlı yazılım yalnızca Windows sistemlerini değil, aynı zamanda Linux sistemlerini de hedef alabiliyor. Python kütüphaneleri, “terminate.so” adı verilen bir paylaşılan nesne dosyası bırakıyor ve aynı işlevselliği sağlıyor. Araştırmalar sonucunda, kötü amaçlı yazılım yazarının Zulip üzerindeki aktiviteleri incelendiğinde, üç aktif kullanıcı olduğu ve bu kullanıcıların toplamda 90,692 mesaj paylaştığı tespit edildi. Malware yazarının 10 Temmuz 2025’ten bu yana aktif olduğu düşünülüyor.
Açık Kaynak Ekosistemleri ve Tedarik Zinciri Saldırıları
Bu durum, açık kaynaklı paketlerin tedarik zinciri saldırıları açısından ne kadar savunmasız olduğunu ortaya koyuyor. Kötü niyetli aktörlerin, iş değerlendirmesi adı altında geliştiricileri hedef alarak, kötü amaçlı bir GitHub deposunu klonlatmaya çalıştığı ortaya çıktı. Bu süreçte, geliştiricilerin iCloud Keychain’i, web tarayıcı verilerini ve kriptovarlık cüzdan bilgilerini toplayan booby-trapped npm paketleri ile karşılaştıkları ifade ediliyor.
NPM Paketlerine Yönelik Tehditler
Son aylarda, kötü amaçlı npm paketlerinin siber güvenlik topluluğunu hedef alarak veri çalmaya ve kriptovarlık madenciliği yapmaya yönelik girişimlerde bulunduğu gözlemlendi. Datadog araştırmacıları, bu paketlerin çoğu kez savunmasız kod örnekleri veya performans artışı vaat eden çekirdek yamanması adı altında dağıtıldığını bildiriyor. Bu tür aktivitelerin MUT-1244 adı altında takip edildiği bilgisi de önemli bir detay olarak öne çıkıyor.
Otomatik Bağımlılık Güncellemeleri ve Riskler
Otomatik bağımlılık güncellemelerinin tehlikeleri üzerine ReversingLabs tarafından yapılan bir rapor, etkilediği proje sayısının fazla olması durumunda risklerin katlanarak arttığını gösteriyor. eslint-config-prettier npm paketinin bir oltalama saldırısı sonucunda ihlal edilmesi, buna en iyi örnek olarak gösteriliyor. Olay, kötü niyetli aktörlerin npm kayıtlarına zehirli sürümleri doğrudan göndermesine olanak tanıdı.
Güvenlik uzmanı Karlo Zanki, otomatik sürüm yönetim araçlarının özellikle güvenlik sorunları olan bağımlılıkları ortadan kaldırma amacı güttüğünü ancak zamanla daha büyük güvenlik açıklarını da beraberinde getirebileceğini belirtiyor. Otomatik güncellemelerin dikkatle izlenmesi, bu tür sorunlarla karşılaşmamak adına son derece önemlidir.
Kısacası, bu tür gelişmeler, yazılım güvenliği alanında dikkatli olunması gerektiğini, açık kaynak projelerin ve paketlerin takibinin gerekliliğini bir kez daha kanıtlıyor.
