PyPI üzerinde barındırılan ve 11.000’den fazla indirilen discordpydebug adlı Python paketi, Discord bot geliştiricilerine yönelik faydalı bir araç gibi görünse de içinde tam işlevli bir Remote Access Trojan (RAT) barındırıyor.


İlk bakışta masum görünmesine rağmen, paket aşağıdaki kötü amaçlı özelliklere sahip:

• backstabprotection.jamesx123.repl[.]co sunucusuna dış bağlantı kuruyor.
• Sunucudan gelen readfile, writefile gibi komutları çalıştırarak dosya okuma/yazma işlemleri yapabiliyor.
• Shell komutlarını uzaktan çalıştırabiliyor.
• Sistemden token, config dosyaları, kullanıcı verileri gibi hassas bilgileri çalabiliyor.
• Yeni kötü amaçlı yazılımlar indirebiliyor.

Paketin 21 Mart 2022’de yüklendiği ve o tarihten bu yana hiç güncellenmediği görülüyor. Hâlâ PyPI üzerinde erişilebilir durumda.


Aynı kampanya kapsamında tespit edilen bazı sahte npm paketleri:

(Tanındık kütüphanelerin isimlerine benzetilerek geliştiriciler kandırılmaya çalışılıyor)

• beautifulsoup4 (gerçek BeautifulSoup4 yerine)
• apache-httpclient (gerçek Apache HttpClient yerine)
• opentk (gerçek OpenTK .NET kütüphanesi yerine)
• seaborn (gerçek Seaborn yerine)

Bu npm paketleri; benzer şekilde obfuscation (karartılmış) kod içeriyor, aynı IP adreslerine bağlanıyor ve ortak altyapıyı kullanıyor. Farklı geliştirici ismi verilmiş olsa da hepsinin tek bir tehdit aktörüne ait olduğu düşünülüyor.
Tavsiyem:

• Eğer sisteminizde discordpydebug kuruluysa derhal kaldırın.
• Benzer isimli npm/PyPI paketlerini kurarken dikkatli olun.
• Paketleri yüklemeden önce güncelliğini, yorumları ve kaynak kodunu kontrol edin.

Geliştirici ortamları artık tehdit aktörlerinin ana hedefi hâline gelmiş durumda. Supply chain saldırılarına karşı tetikte olun.