Geçtiğimiz Kasım ayından bu yana aktif olan bir kampanya, saldırganların güvenliği ihlal edilmiş sunuculardaki rastgele dosyaları okumasına olanak tanıyan truva atı haline getirilmiş Pyrogram çatallarıyla Telegram botları oluşturan Python geliştiricilerini hedef alıyor.
Pyrogram içe aktarılırken veya bot başlatıldığında yardımcı modüller tarafından etkinleştirilen gizli bir arka kapıya sahip en az sekiz paket Python Paket Dizininde (PyPI) yayınlandı.
Pyrogram projesi artık sürdürülmese de, PyPI'de yaklaşık 350.000 aylık indirme (en son Nisan 2023'te güncellendi) ve GitHub'da (en son Aralık 2024'te güncellendi) 1.400'den fazla çatalla popülerliğini koruyor.
Pyrogram, "kullanıcılar ve botlar için Python'da zarif, modern ve eşzamansız Telegram MTProto API çerçevesi" olarak tanımlanıyor. Daha basit bir ifadeyle geliştiricilerin otomatik botlar veya kullanıcı robotları oluşturmasına olanak tanır.
Kampanyayı 'Donanma Hayaleti Operasyonu' olarak adlandıran uygulama güvenlik şirketi Checkmarx'taki araştırmacılara göre, tehdit aktörü Kasım 2025 ile Haziran 2026 arasında PyPI'de aşağıdaki kötü niyetli Pyrogram çatallarını yayınladı:
VLifeGram (4.150 indirme sayılan dokuz sürüm)
VLife-Gram (1.030 indirmeye sahip beş sürüm)
pyrogram-navy (2.530 indirmeli altı versiyon)
pyrogram tarzı (15.370 versiyonla 16'dan fazla versiyon)
pyrogram-zeeb (432 indirme sayılan bir sürüm)
kelragram (üç versiyon 1.041 kez indirildi)
sepgram (bir sürüm 264 kez indirildi)
pyrogram-kelra (672 indirmeli bir sürüm)
Tüm paketler, orijinal kaynak kodunu içerdiğinden meşru Pyrogram projesinin çatallarıdır. Ancak tehdit aktörü, yardımcılar modülünde gizli, secret.py adında bir arka kapı da ekledi.
Kötü amaçlı dosya, virüslü bir bot başlatıldığında gizli Telegram komut işleyicilerini kaydeder ve bu da saldırganın sağladığı Python kodunun veya kabuk komutlarının yürütülmesine olanak tanır.
Python yürütme işlevi
Kaynak: Checkmarx
Checkmarx şöyle açıklıyor: "Saldırgan, kurbanın botuna /asu print(os.environ) gönderdiğinde, bu işlev, canlı Telegram istemcisine, oturuma, sohbetlere, kişilere ve ortam değişkenlerine tam erişimle birlikte Python kodunu kurbanın makinesinde derler ve çalıştırır."
Araştırmacılar, "Saldırgan /asi cat /etc/passwd gönderdiğinde, kurbanın sunucusunda /bin/bash -c "cat /etc/passwd" komutunu çalıştırır ve çıktıyı döndürür" diyor.
"Bu, herhangi bir kabuk komutuyla tekrarlanabilir ve virüslü uygulamanın yetkisi altında çalışır; bu, kötü amaçlı yazılımın, virüslü uygulamanın yasal olarak erişebildiği her şeye erişebileceği ve sızabileceği anlamına gelir."
Komut çıktısı daha sonra Telegram mesajları aracılığıyla döndürülüyor ve 4096 baytı aşarsa saldırganlara belge eki olarak gönderiliyor.
Arka kapı, tehdit aktörlerine özel kontrol sağlayan Telegram kimliklerini içeren sabit kodlu bir 'SAHİPLER' listesi içerir. Bu liste aynı zamanda saldırganın sisteminde başlatıldığında arka kapının devre dışı bırakılmasına da yardımcı olur.
Sabit kodlanmış SAHİPLER listesi
Kaynak: Checkmarx
Kötü amaçlı yazılım özellikle Telegram bot hesaplarını hedef alıyor ve sessizce çalışacak, hataları bastıracak ve günlük kaydını devre dışı bırakacak şekilde tasarlandı.
Checkmarx araştırmacıları, arka kapının yalnızca genellikle üretim ortamlarında çalışan Telegram bot hesaplarında etkinleştirildiğini fark etti; bu, saldırganın "veritabanlarına, kimlik bilgilerine, bulut API'lerine ve hassas altyapıya erişim" istediğini belirten kasıtlı bir işlevdir.
Bot aktif hale geldiğinde, tehdit aktörü sunucudaki herhangi bir dosyayı okuyabilir, sırları dağıtabilir, kurbanın Telegram sohbetlerine erişebilir, veritabanını indirebilir ve kalıcı bir arka kapı kurabilir.
Paketlerin farklı PyPI hesaplarından yayınlanmasına rağmen Checkmarx, kampanyayı tek bir tehdit aktörüne bağlıyor. Sonuç, çeşitli paketlerdeki paylaşılan SAHİPLER listesine, aynı arka kapı koduna, komut adlarına ve örtüşen altyapıya dayanmaktadır.
Listelenen paketleri yüklemiş olabilecek geliştiricilerin bunları derhal kaldırması, etkilenen sunucudaki tüm kimlik bilgilerini değiştirmesi ve Telegram bot tokenlarını iptal etmesi gerekiyor.
Checkmarx, bu konuda uzlaşma göstergelerini yayınladı
Saldırganın profil URL'leriyle birlikte kötü amaçlı Telegram kimlikleri.