Özet

Siber güvenlik araştırmacıları, Python Paket İndeksi (PyPI) deposunda Windows sistemlerinde SilentSync adlı uzaktan erişim trojanını (RAT) dağıtmak için tasarlanmış iki yeni kötü amaçlı paket keşfetti.

Kötü Amaçlı Paketler

CondeTGAPIS kullanıcısı tarafından yüklenen ve artık PyPI’den kaldırılan paketler:

• sisaws (201 indirme)
• secmeasure (627 indirme)

SilentSync RAT’ın Yetenekleri

• Uzaktan komut çalıştırma
• Dosya sızıntısı
• Ekran görüntüsü alma
• Web tarayıcı verilerini çalma (Chrome, Brave, Edge, Firefox)
• Şifreler
• Geçmiş
• Otomatik doldurma verileri
• Çerezler

Saldırı Yöntemleri

• sisaws paketi: Arjantin’in ulusal sağlık bilgi sistemi SISA’nın meşru Python paketi olan `sisa`’yı taklit eder. `gen_token()` fonksiyonu çağrıldığında, kodlanmış bir curl komutu çözülür ve PasteBin’den ek Python scripti indirilir.
• secmeasure paketi: “String temizleme ve güvenlik önlemleri” kütüphanesi gibi gösterilerek SilentSync RAT’ı sisteme yerleştirir.

Platform Desteği

• Windows: Registry değişiklikleri
• Linux: Crontab dosyası değişiklikleri
• macOS: LaunchAgent kaydı

Sunucu Endpoints

Malware, sabit kodlanmış 200.58.107.25 adresinde dört farklı endpoint kullanır:

• /checkin: Bağlantı kontrolü
• /comando: Komut talebi
• /respuesta: Durum mesajı gönderimi
• /archivo: Komut çıktısı ve çalınan veri gönderimi

Güvenlik Açıkları

Bu keşif, yazılım tedarik zinciri saldırılarının artan riskini ve kötü amaçlı aktörlerin typosquatting ve meşru paket taklidini kullanarak kişisel tanımlanabilir bilgilere (PII) erişim sağlayabildiğini göstermektedir.

https://thehackernews.com/2025/09/silentsync-rat-delivered-via-two.html