Lühidalt: Kaheksa manipuleeritud Pyrogrami paketti PyPI-s võimaldavad ründajatel käivitada Pythoni koodi ja shellikäske toimivates Telegrami roboti serverites ning varastada sealt kasutajatunnuseid ja andmebaasiühendusi.
Checkmarx on alates 2025. aasta novembrist tuvastanud kampaania nimega Operation Navy Ghost, mille käigus ründajad on kaheksa võltsitud Pyrogrami variandi kaudu Python Package Indexis (PyPI) kogunud üle 25 000 allalaadimise, meelitades Pythoni arendajaid paigaldama tagauksi.
Mõjutatud paketid kannavad nimesid VLifeGram, VLife-Gram, pyrogram-navy, pyrogram-styled, pyrogram-zeeb, kelragram, sepgram ja pyrogram-kelra. Neid levitati mitme PyPI konto kaudu, kuid identse infrastruktuuri ja koodimustrite põhjal saab need omistada ühele ja samale ründajale. Pyrogram on Telegrami robotitele mõeldud Pythoni raamistik, mis ei ole alates 2023. aasta aprillist enam ametlikke uuendusi saanud, kuid mida laaditakse endiselt aktiivselt alla.
Manipuleeritud paketid sisaldavad algset lähtekoodi, kuid neile on lisatud fail nimega secret.py. See registreerib roboti käivitumisel varjatud Telegrami käsuhaldurid. Nii saavad ründajad konkreetsete vestluskäskude kaudu süstida ohvri serverisse Pythoni koodi ja süsteemikäske. Käsuga /asu käivitatakse Pythoni kood, käsuga /asi kutsutakse välja shellikäsud /bin/bash kaudu. Käsud töötavad roboti rakenduse õigustega, mis annab juurdepääsu kõigile ressurssidele, millele nakatunud skript ligi pääseb.
Pahavara summutab aktiivselt veateateid ja logimist ning aktiveerub ainult tegelike Telegrami roboti kontode korral, mis on tüüpiline just tootmiskeskkondades. See annab ründajatele juurdepääsu taustsüsteemi andmebaasidele, pilve-API-dele ja serveri sisselogimisandmetele. Väljafiltreeritud andmed edastatakse ründajate infrastruktuurile Telegrami sõnumite või dokumendimanustena, kusjuures Telegrami ID-de valgest nimekirjast tulenevalt saavad nakatunud süsteeme kontrollida ainult kampaania algatajad.
Mõjutatud arendajatelt nõuab see viivitamatut tegutsemist: kahtlaste pakettide paigaldus tuleb tagasi võtta, API-tokenid tühistada ja kõik mõjutatud serverite juurdepääsuandmed vahetada. Samuti tuleks kontrollida PyPI-st, kas paketid on endiselt saadaval.
Allikas: www.it-daily.net · Avaldatud 5. juuli 2026
Lumi AI News — tehisintellekti abiga kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.