Ένα κακόβουλο πακέτο Python με το όνομα pyronut έχει ανακαλυφθεί στο Python Package Index (PyPI), που στοχεύει προγραμματιστές που δημιουργούν ρομπότ Telegram υποδυόμενοι το δημοφιλές pyrogram σκελετός.
Αντί να στηρίζεται στο τυπογραφικό κατασκήνωση – όπου ένα όνομα μοιάζει με νόμιμο – ο ηθοποιός της απειλής αντέγραψε λέξη προς λέξη ολόκληρη την περιγραφή του έργου του πυρογράμματος, δημιουργώντας αυτό που οι ερευνητές περιγράφουν ως κακόβουλο πιρούνι, ένα τροϊκανοποιημένο αντίγραφο σχεδιασμένο να προσεγγίζει τα θύματα μέσω της κοινωνικής μηχανικής.
Ο pyrogram Το πλαίσιο προσελκύει περίπου 370.000 λήψεις κάθε μήνα, καθιστώντας το στόχο υψηλής αξίας για αυτόν τον τύπο πλαστοπροσωπίας.
Pyronut αντέγραψε τη σελίδα του έργου του pyrogram χωρίς να προσθέσει νέες δυνατότητες και η καταχωρισμένη διεύθυνση URL του αποθετηρίου GitHub έδειχνε μια σελίδα που δεν υπήρχε.
Αυτό υποδηλώνει ότι το πακέτο διανεμήθηκε μέσω των κοινοτήτων του Telegram και των φόρουμ προγραμματιστών αντί να ανακαλύφθηκε τυχαία. Δημοσιεύτηκαν τρεις εκδόσεις — 2.0.184, 2.0.185 και 2.0.186 — όλες κακόβουλες.
Οι ερευνητές της Endor Labs προσδιόρισαν και τις τρεις εκδοχές στις 18 Μαρτίου 2026 — την ίδια μέρα που εμφανίστηκαν στο PyPI — και τους έβαλαν σε καραντίνα μέσα σε λίγες ώρες. Αυτή η γρήγορη απόκριση κράτησε το παράθυρο επίθεσης μικρό και μείωσε τον αριθμό των προγραμματιστών σε κίνδυνο.
Ωστόσο, οποιοσδήποτε προγραμματιστής του οποίου το bot εκτελούσε το πακέτο κατά τη διάρκεια αυτού του σύντομου παραθύρου ήταν πλήρως εκτεθειμένος σε συμβιβασμούς.
Τι έκανε pyronut ιδιαίτερα δύσκολο να εντοπιστεί ήταν η στρατηγική ενεργοποίησης χρόνου εκτέλεσης. Σε αντίθεση με τα περισσότερα κακόβουλα πακέτα που εκτελούν επιβλαβή κώδικα μέσω setup.py γάντζοι κατά την εγκατάσταση, pyronut παρέμεινε εντελώς αδρανής έως ότου ένας προγραμματιστής έτρεξε πραγματικά το bot του.
Ενσωμάτωσε μια κρυφή μονάδα backdoor στο pyrogram/helpers/secret.pyτο οποίο φορτωνόταν αθόρυβα κάθε φορά που ξεκινούσε ο πελάτης του Telegram, παρακάμπτοντας εντελώς τους τυπικούς ελέγχους ασφαλείας χρόνου εγκατάστασης.
Οι συνέπειες μιας επιτυχούς μόλυνσης ήταν σοβαρές. Μόλις ενεργοποιηθεί η κερκόπορτα, ο εισβολέας απέκτησε διπλές δυνατότητες Απομακρυσμένης Εκτέλεσης Κώδικα (RCE) — τη δύναμη να εκτελεί αυθαίρετο κώδικα Python και αυθαίρετες εντολές φλοιού στον υπολογιστή του θύματος.
Αυτό άνοιξε την πόρτα στην κλοπή διαπιστευτηρίων, τη διείσδυση δεδομένων, την πλευρική μετακίνηση στα συστήματα και την πλήρη ανάληψη της ενεργής συνεδρίας Telegram του θύματος.
| Πακέτο | Εκδοχή | Ημερομηνία δημοσίευσης | Κατάσταση |
|---|---|---|---|
| pyronut | 2.0.184 | 18-03-2026 | Σε καραντίνα Malicious-Pyronut-Package-Backdoors-Telegram-Bots-With-Remote-Code-Execution.pdf |
| pyronut | 2.0.185 | 18-03-2026 | Σε καραντίνα Malicious-Pyronut-Package-Backdoors-Telegram-Bots-With-Remote-Code-Execution.pdf |
| pyronut | 2.0.186 | 18-03-2026 | Σε καραντίνα Malicious-Pyronut-Package-Backdoors-Telegram-Bots-With-Remote-Code-Execution.pdf |
Runtime Backdoor: Πώς λειτούργησε η επίθεση
Το backdoor ενεργοποιήθηκε τη στιγμή που ένας προγραμματιστής κάλεσε το Client.start() μέθοδος, ένα βασικό βήμα στον τρόπο με τον οποίο αρχικοποιείται οποιοδήποτε bot Telegram που βασίζεται σε πυρόγραμμα.
Ο ηθοποιός της απειλής είχε τροποποιήσει αυτή τη μέθοδο μέσα pyrogram/methods/utilities/start.py για αθόρυβη εισαγωγή και εκτέλεση του κρυφού secret.py ενότητα κάθε φορά που ξεκινούσε ένας πελάτης.
Κρίσιμα, ολόκληρη η κλήση ήταν τυλιγμένη σε ένα γυμνό try/except: pass μπλοκ, οπότε αν η κερκόπορτα αντιμετώπισε κάποιο σφάλμα, απέτυχε σιωπηλά και το bot συνέχισε να λειτουργεί κανονικά.
Μόλις εκτελεστεί, το backdoor κατέγραψε δύο κρυφούς χειριστές μηνυμάτων στον υπολογιστή-πελάτη Telegram του θύματος, συνδεδεμένους με δύο κωδικοποιημένα αναγνωριστικά λογαριασμού εισβολέα.
Ο πρώτος χειριστής, ενεργοποιείται από το /e εντολή, χρησιμοποίησε το meval βιβλιοθήκη για την εκτέλεση αυθαίρετου κώδικα Python μέσα στη ζωντανή συνεδρία, παρέχοντας πλήρη πρόσβαση σε μηνύματα, επαφές και λειτουργίες API του Telegram.
Ο δεύτερος χειριστής, /shellπέρασε εντολές απευθείας στο /bin/bash μέσω υποδιεργασίας, δίνοντας στον εισβολέα απεριόριστη πρόσβαση στο σύστημα. Το backdoor παρέλειψε επίσης την εγκατάσταση στους λογαριασμούς του ίδιου του εισβολέα – ένα σαφές σημάδι σκόπιμης κακόβουλης πρόθεσης.
Οι έξοδοι εντολών στάλθηκαν πίσω στον εισβολέα μέσω του ίδιου του Telegram, με τα αποτελέσματα να επιστρέφονται στην ίδια συνομιλία όπου εκδόθηκαν οι εντολές.
Αυτό σήμαινε ότι η λειτουργία δεν άφησε ασυνήθιστες εξωτερικές συνδέσεις δικτύου, ύποπτα ερωτήματα DNS και τομείς C2 για εργαλεία παρακολούθησης προς επισήμανση — καθιστώντας την κερκόπορτα εξαιρετικά δύσκολη την ανίχνευση μέσω συμβατικής ανάλυσης δικτύου.
Προγραμματιστές που μπορεί να έχουν εγκαταστήσει pyronut θα πρέπει να απεγκαταστήσετε αμέσως το πακέτο και να δημιουργήσετε εκ νέου τα επηρεαζόμενα εικονικά περιβάλλοντα από μια καθαρή, επαληθευμένη κατάσταση.
Όλες οι μεταβλητές περιβάλλοντος, τα κλειδιά API, τα κλειδιά SSH και οι κωδικοί πρόσβασης βάσης δεδομένων που είναι προσβάσιμοι στην παραβιασμένη διαδικασία θα πρέπει να αντιμετωπίζονται ως εκτεθειμένες και να εναλλάσσονται αμέσως. Οι περίοδοι σύνδεσης Active Telegram πρέπει να τερματιστούν και όλα τα διακριτικά Bot API να ανακληθούν αμέσως.
Αρχεία εξάρτησης όπως requirements.txt, Pipfileκαι pyproject.toml θα πρέπει να ελέγχονται τακτικά για μη αναμενόμενα πακέτα και τα αρχεία κλειδώματος με κρυπτογραφική καρφίτσωμα κατακερματισμού θα πρέπει να χρησιμοποιούνται για την αποφυγή σιωπηλών αντικαταστάσεων.
Η εκτέλεση εφαρμογών σύμφωνα με την αρχή του ελάχιστου προνομίου και η ενσωμάτωση εργαλείων Ανάλυσης Σύνθεσης Λογισμικού σε αγωγούς CI/CD θα μειώσει σημαντικά την έκθεση σε παρόμοιες επιθέσεις στην αλυσίδα εφοδιασμού.
