Python geliştiricilerinin kullandığı PyPI deposunda yayımlanan zararlı paketlerin, Telegram bot sunucularını ele geçirmek amacıyla hazırlandığı ortaya çıktı. Checkmarx araştırmacıları, “Operation Navy Ghost” adını verdikleri kampanyada Pyrogram çatallarına gizlenen arka kapının saldırganlara sunucularda uzaktan komut çalıştırma yetkisi verdiğini açıkladı. Kasım 2025’ten bu yana aktif olduğu belirtilen kampanya, özellikle üretim ortamlarında çalışan Telegram botlarını hedef alıyor.

Zararlı Pyrogram Çatalları Sunucularda Gizli Arka Kapı Oluşturuyor

Checkmarx’ın yayımladığı teknik analize göre saldırganlar, PyPI üzerinde meşru Pyrogram projesini temel alan sekiz farklı paket yayımladı. Pyrogram projesi aktif olarak geliştirilmese de aylık yaklaşık 350 bin indirme sayısına ulaşması ve yüzlerce proje tarafından kullanılmaya devam etmesi nedeniyle saldırganlar için cazip bir hedef hâline geldi. Zararlı paketler ilk bakışta orijinal kaynak kodunu içerdiği için şüphe uyandırmıyor ancak “helpers” modülüne eklenen secret.py dosyası arka planda gizli bir arka kapıyı devreye alıyor.

PyPI'de Tespit Edilen Zararlı Python Paketleri Telegram Botlarını Hedef Alıyor

Araştırmacılar, VLifeGram, VLife-Gram, pyrogram-navy, pyrogram-styled, pyrogram-zeeb, kelragram, sepgram ile pyrogram-kelra isimli paketlerin aynı saldırı zincirinin parçası olduğunu belirledi. Saldırgan, Telegram botu çalışmaya başladıktan sonra gizli komut işleyicilerini etkinleştiriyor. Böylece sunucu üzerinde Python kodu veya kabuk komutları uzaktan çalıştırılabiliyor. Zararlı paketler yalnızca Telegram bot hesaplarında aktif hâle geldiği için normal kullanıcı hesaplarında fark edilmeden çalışmayı sürdürebiliyor.

Saldırganlar Sunucudaki Dosyalara ve Kimlik Bilgilerine Erişebiliyor

Checkmarx’ın analizine göre arka kapı, saldırganın Telegram üzerinden gönderdiği özel komutları doğrudan hedef sunucuda çalıştırabiliyor. Araştırmacılar, saldırganın Python kodu çalıştırarak ortam değişkenlerini okuyabildiğini, ayrıca Linux kabuk komutlarıyla sistem dosyalarını görüntüleyebildiğini aktardı. Komut çıktıları Telegram mesajı olarak saldırgana gönderilirken büyük dosyalar belge eki şeklinde iletiliyor. Bu yöntem sayesinde veritabanları, API anahtarları, kimlik bilgileri ile diğer hassas dosyalar sunucudan dışarı aktarılabiliyor.

PyPI'de Tespit Edilen Zararlı Python Paketleri Telegram Botlarını Hedef Alıyor
Python yürütme fonksiyonu

Araştırmacılar, zararlı yazılımın içerisinde yer alan sabit Telegram kullanıcı kimlikleri sayesinde yalnızca saldırganların arka kapıyı yönetebildiğini tespit etti. Aynı kimlik listesi farklı paketlerde tekrar kullanıldığı için kampanyanın tek bir tehdit aktörü tarafından yürütüldüğü değerlendiriliyor. Günlük kayıtlarının devre dışı bırakılması ile hata mesajlarının gizlenmesi de zararlı yazılımın uzun süre fark edilmeden çalışmasını kolaylaştırıyor.

Telegram botları çoğu zaman veritabanlarına, bulut servislerine ve uygulama kimlik bilgilerine erişim yetkisiyle çalıştığı için bu tür saldırılar yalnızca bot hesaplarını değil bağlı oldukları tüm altyapıyı riske atabiliyor. Python geliştiricilerinin şüpheli PyPI paketlerini derhâl kaldırması, etkilenen sunuculardaki tüm parolaları ile erişim anahtarlarını yenilemesi, Telegram bot belirteçlerini iptal ederek yeniden oluşturması öneriliyor. Açık kaynak paketlerini kullanmadan önce yayıncı hesabının doğrulanması ve bağımlılıkların düzenli olarak denetlenmesi de benzer tedarik zinciri saldırılarına karşı kritik önem taşıyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.