Giriş
Kötü niyetli saldırganlar, Marimo etkileşimli Python defterinde bulunan kritik bir güvenlik açığını (CVE-2026-39987) kullanarak Hugging Face platformunda barındırılan yeni bir NKAbuse kötü amaçlı yazılımı varyantını dağıtıyor. Bu saldırılar, teknik detayların kamuya açıklanmasından sadece on saat sonra başladı ve kullanıcıların kimlik bilgilerini hedef almayı amaçlıyor.
Saldırı Nasıl Çalışıyor?
Saldırganlar, Hugging Face Spaces platformundaki bir uzaktan kod yürütme açığını (CVE-2026-39987) istismar ederek, vsccode-modetx adında bir alan (Space) oluşturdular. Bu alanda bir yükleyici (dropper) script (install-linux.sh) ve kagent adında kötü amaçlı bir ikili dosya barındırılmaktadır.
Saldırgan, Marimo RCE açığını kullanarak bir curl komutu ile bu scripti Hugging Face’ten indirip çalıştırdı. Hugging Face Spaces, güvenilir bir HTTPS uç noktası olduğundan, bu durum alarm tetikleme olasılığını azaltmaktadır.
Etkilenen Sistemler
Yapılan analizlerde, Hugging Face platformu üzerinden dağıtılan NKAbuse kötü amaçlı yazılımının farklı varyantları şunları içermektedir:
- CVE-2026-39987: Uzaktan kod yürütme açığı.
- NKAbuse: DDoS odaklı bir kötü amaçlı yazılım varyantı.
Saldırganlar, ayrıca çeşitli hedeflere yönelik teknikler kullanarak sistemlerde aşağıdaki eylemleri gerçekleştirmiştir:
- Veritabanı kimlik bilgilerini çekmek.
- PostgreSQL üzerinde hızlıca şemalar, tablolar ve yapılandırma verileri listelemek.
- Redis sunucusunu hedef alarak verileri kasıtlı bir şekilde sızdırmak.
Çözüm ve Korunma
Araştırmalara göre, saldırının sıklığı ve kullanılan taktikler artış göstermektedir. Kullanıcıların derhal 0.23.0 veya daha yeni bir versiyona güncellemeleri önerilmektedir. Eğer güncelleme yapmak mümkün değilse, aşağıdaki adımlar izlenmelidir:
- Firewall aracılığıyla ‘/terminal/ws’ uç noktasına dış erişimi engelleyin.
- Gerekirse bu uç noktanın tamamen kapatılması için önlemler alın.
Aksiyon
Marimo etkileşimli Python defterindeki güvenlik açığının istismarını önlemek için kullanıcıların derhal yazılımlarını güncellemeleri veya gerektiğinde ilgili uç noktaları kapatmaları kritik önem taşımaktadır. Bu önlemler, sistemlerinizi tehditlerden koruyacak ve iş sürekliliğinizi sağlayacaktır.


