Python Geliştiricilerini Hedefleyen SilentSync RAT İçeren İki Kötü Amaçlı PyPI Paketi Ortaya Çıktı

Anasayfa » Python Geliştiricilerini Hedefleyen SilentSync RAT İçeren İki Kötü Amaçlı PyPI Paketi Ortaya Çıktı
Haberler, Siber Güvenlik, Tehdit Analizi
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Python Geliştiricilerini Hedefleyen SilentSync RAT İçeren İki Kötü Amaçlı PyPI Paketi Ortaya Çıktı

Zscaler ThreatLabz araştırmacıları Manisha Ramcharan Prajapati ve Satyam Singh, Python geliştiricilerini hedef alan iki kötü amaçlı PyPI paketinde SilentSync adlı gelişmiş bir RAT (Remote Access Trojan) tespit etti. SilentSync, uzaktan komut yürütme, dosya sızdırma, ekran görüntüsü alma ve popüler web tarayıcılarından kimlik bilgileri, geçmiş, otomatik doldurma verileri ile çerezleri çalma yeteneklerine sahip.

Kötü Amaçlı Paketler ve İşleyiş Mekanizması

PyPI’den kaldırılan sisaws ve secmeasure adlı paketler, “CondeTGAPIS” adlı kullanıcı tarafından yüklenmişti. Sisaws paketi, Arjantin’in ulusal sağlık bilgi sistemi SISA’nın meşru Python paketi sisa’nın davranışını taklit ederek, __init__.py dosyasındaki gen_token() fonksiyonu aracılığıyla ikinci aşama kötü amaçlı yazılımı indiriyor. Bu fonksiyon, sabit kodlanmış bir token ile SISA API’sine benzer bir statik token alıyor ve PasteBin’den helper.py adlı bir Python betiği çekip çalıştırıyor.

Secmeasure paketi ise güvenlik önlemleri uygulayan bir kütüphane gibi görünmesine rağmen, içinde SilentSync RAT’ı barındırıyor. SilentSync öncelikle Windows sistemleri hedefliyor ancak Linux ve macOS platformları için de yerleşik özellikler sunuyor. Windows’ta Kayıt Defteri değişiklikleri yaparken, Linux’ta crontab dosyasını, macOS’ta ise LaunchAgent kayıtlarını manipüle ediyor.

Komut ve Kontrol İletişimi

Paketler, sabit kodlanmış bir uç noktaya (“200.58.107[.]25”) HTTP GET istekleri göndererek bellekte Python kodu alıyor. Sunucu dört uç nokta ile iletişim kuruyor: /checkin (bağlantı doğrulama), /comando (komut isteme), /respuesta (durum mesajı gönderme) ve /archivo (komut çıktısı veya çalınan verileri iletme). Bu sayede saldırganlar, sistem üzerinde kabuk komutları çalıştırabiliyor, ekran görüntüsü alabiliyor ve dosyaları ZIP arşivleri halinde sızdırabiliyor. Veri iletimi sonrası, tespit edilmemek için tüm izler sistemden temizleniyor.

Tedarik Zinciri Saldırılarının Artan Tehlikesi

Zscaler, sisaws ve secmeasure paketlerinin keşfinin, kamuya açık yazılım depolarında tedarik zinciri saldırılarının yükselen riskini gözler önüne serdiğini belirtiyor. Yazım hatası yoluyla paket taklidi yaparak ve meşru paketleri taklit ederek, tehdit aktörleri kişisel olarak tanımlanabilir bilgilere (PII) erişim sağlayabiliyor. Bu durum, Python geliştiricileri ve güvenlik uzmanları için ek bir tehdit unsuru oluşturuyor.

, , , , , , ,