Kampanye yang aktif sejak November lalu menargetkan pengembang Python yang membuat bot Telegram dengan garpu Pyrogram yang telah di-trojanisasi sehingga memungkinkan penyerang membaca file sewenang-wenang di server yang disusupi.
Setidaknya delapan paket telah diterbitkan pada Indeks Paket Python (PyPI) dengan pintu belakang tersembunyi yang diaktifkan oleh modul pembantu saat mengimpor Pyrogram atau saat bot dimulai.
Meskipun proyek Pyrogram tidak lagi dikelola, proyek ini tetap populer, dengan hampir 350.000 unduhan bulanan di PyPI (terakhir diperbarui pada April 2023) dan lebih dari 1.400 fork di GitHub (terakhir diperbarui pada Desember 2024).
Pyrogram digambarkan sebagai “kerangka API MTProto Telegram yang elegan, modern, dan asinkron dengan Python untuk pengguna dan bot.” Dalam istilah yang lebih sederhana, ini memungkinkan pengembang untuk membuat bot otomatis atau bot pengguna.
Menurut peneliti di perusahaan keamanan aplikasi Checkmarx, yang menjuluki kampanye tersebut sebagai ‘Operasi Hantu Angkatan Laut’, pelaku ancaman tersebut mempublikasikan di PyPI antara November 2025 dan Juni 2026, garpu Pyrogram berbahaya berikut:
- VLifeGram (sembilan versi menghitung 4.150 unduhan)
- VLife-Gram (lima versi dengan 1.030 unduhan)
- pyrogram-navy (enam versi dengan 2.530 unduhan)
- bergaya pyrogram (lebih dari 16 versi dengan 15.370 versi)
- pyrogram-zeeb (satu versi menghitung 432 unduhan)
- kelragram (tiga versi diunduh 1.041 kali)
- sepgram (satu versi diunduh 264 kali)
- pyrogram-kelra (satu versi dengan 672 unduhan)
Semua paket adalah cabang dari proyek Pyrogram yang sah karena menyertakan kode sumber asli. Namun, pelaku ancaman juga menambahkan pintu belakang bernama secret.py, yang tersembunyi di modul pembantu.
File berbahaya tersebut mendaftarkan penangan perintah Telegram yang tersembunyi ketika bot yang terinfeksi diluncurkan, yang memungkinkan eksekusi kode Python atau perintah shell yang disediakan penyerang.
Sumber: Checkmarx
“Saat penyerang mengirimkan /asu print(os.environ) ke bot korban, fungsi ini mengkompilasi dan mengeksekusi kode Python tersebut di mesin korban — dengan akses penuh ke klien Telegram langsung, sesi, obrolan, kontak, dan variabel lingkungan,” Checkmarx menjelaskan.
“Ketika penyerang mengirimkan /asi cat /etc/passwd, ini akan menjalankan /bin/bash -c “cat /etc/passwd” di server korban dan mengembalikan hasilnya,” kata para peneliti.
“Hal ini dapat diulangi dengan perintah shell apa pun dan berjalan di bawah otoritas aplikasi yang terinfeksi, yang berarti malware dapat mengakses dan mengekstraksi apa pun yang dapat diakses secara sah oleh aplikasi yang terinfeksi.”
Output perintah kemudian dikembalikan melalui pesan Telegram, dan jika melebihi 4096 byte, maka dikirim sebagai lampiran dokumen ke penyerang.
Pintu belakang berisi daftar ‘PEMILIK’ yang dikodekan dengan ID Telegram yang memberikan kontrol eksklusif kepada pelaku ancaman. Daftar ini juga membantu menonaktifkan pintu belakang ketika diluncurkan pada sistem penyerang.
Sumber: Checkmarx
Malware ini secara khusus menargetkan akun bot Telegram dan dirancang untuk beroperasi secara diam-diam, menekan kesalahan, dan menonaktifkan pencatatan.
Peneliti Checkmarx memperhatikan bahwa pintu belakang hanya aktif pada akun bot Telegram, yang biasanya berjalan di lingkungan produksi, sebuah fungsi yang disengaja yang menunjukkan bahwa penyerang mencari “akses ke database, kredensial, API cloud, dan infrastruktur sensitif.”
Setelah bot aktif, pelaku ancaman dapat membaca file apa pun di server, membuang rahasia, mengakses obrolan Telegram korban, mengunduh database, dan memasang pintu belakang yang persisten.
Meskipun paket diterbitkan dari akun PyPI yang berbeda, Checkmarx mengaitkan kampanye tersebut dengan satu pelaku ancaman. Kesimpulannya didasarkan pada daftar PEMILIK yang dibagikan di berbagai paket, kode pintu belakang yang identik, nama perintah, dan infrastruktur yang tumpang tindih.
Pengembang yang mungkin telah menginstal paket yang terdaftar harus segera menghapusnya, merotasi semua kredensial di server yang terpengaruh, dan mencabut token bot Telegram mereka.
Checkmarx telah menerbitkan indikator kompromi untuk ID Telegram berbahaya bersama dengan URL profil penyerang.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
