Security

Paket PyPI Berbahaya Targetkan Developer Telegram Bot, Hacker Bisa Kuasai Server Korban

Sebuah kampanye serangan siber yang telah berlangsung sejak November 2025 diketahui menargetkan developer Python yang membangun Telegram Bot menggunakan paket PyPI berbahaya. Paket-paket tersebut menyisipkan backdoor yang memungkinkan pelaku menjalankan perintah dari jarak jauh hingga membaca file apa pun yang tersimpan di server korban.

Peneliti dari perusahaan keamanan aplikasi Checkmarx menamai kampanye ini sebagai Operation Navy Ghost.

Menyamar Sebagai Fork Pyrogram

Target utama serangan adalah pengguna Pyrogram, framework Python yang populer untuk membangun aplikasi dan bot Telegram menggunakan API MTProto.

Meskipun proyek Pyrogram sudah tidak lagi dikembangkan secara aktif, framework tersebut masih banyak digunakan dengan sekitar 350.000 unduhan per bulan di PyPI serta memiliki lebih dari 1.400 fork di GitHub.

Pelaku memanfaatkan kondisi tersebut dengan menerbitkan berbagai fork Pyrogram yang tampak sah namun telah dimodifikasi.

Checkmarx menemukan sedikitnya delapan paket berbahaya yang diunggah ke PyPI antara November 2025 hingga Juni 2026, yaitu:

  • VLifeGram
  • VLife-Gram
  • pyrogram-navy
  • pyrogram-styled
  • pyrogram-zeeb
  • kelragram
  • sepgram
  • pyrogram-kelra

Seluruh paket tersebut tetap menyertakan source code asli Pyrogram sehingga tampak seperti fork normal, tetapi diam-diam menambahkan file berbahaya bernama secret.py di dalam modul helper.

Backdoor Aktif Saat Bot Dijalankan

Backdoor akan aktif ketika bot Telegram dijalankan atau saat library Pyrogram diimpor ke dalam aplikasi.

Kode tersebut secara otomatis mendaftarkan command Telegram tersembunyi yang hanya dapat digunakan oleh pelaku.

Melalui command tersebut, hacker dapat:

  • Menjalankan kode Python secara langsung pada server korban.
  • Menjalankan perintah shell Linux.
  • Membaca file apa pun yang dapat diakses aplikasi.
  • Mengambil environment variable.
  • Mengakses session Telegram.
  • Membaca chat dan daftar kontak.
  • Mengunduh database aplikasi.
  • Memasang backdoor tambahan agar akses tetap bertahan.

Sebagai contoh, penyerang dapat mengirim perintah untuk membaca file /etc/passwd atau mengeksekusi kode Python yang mengambil seluruh environment variable dari server.

Hasil eksekusi kemudian dikirim kembali kepada pelaku melalui pesan Telegram. Apabila ukuran output melebihi batas pesan Telegram, data akan dikirim sebagai file dokumen.

Hanya Aktif pada Telegram Bot

Menariknya, malware ini dirancang agar hanya aktif ketika mendeteksi bahwa aplikasi dijalankan menggunakan akun Telegram Bot.

Pendekatan tersebut diduga dilakukan agar malware tidak mudah terdeteksi selama proses pengembangan, tetapi baru aktif ketika aplikasi telah dipasang pada lingkungan produksi.

Checkmarx menilai strategi ini menunjukkan bahwa pelaku memang menargetkan server yang berpotensi menyimpan:

  • Database aplikasi.
  • Kredensial layanan.
  • API key cloud.
  • Infrastruktur produksi.
  • Informasi sensitif lainnya.

Selain itu, malware juga berusaha bekerja secara diam-diam dengan menonaktifkan logging serta menyembunyikan berbagai pesan kesalahan.

Satu Pelaku di Balik Seluruh Paket

Walaupun seluruh paket dipublikasikan menggunakan akun PyPI yang berbeda-beda, Checkmarx meyakini seluruhnya berasal dari satu pelaku ancaman.

Kesimpulan tersebut didasarkan pada sejumlah kesamaan, antara lain:

  • Daftar Telegram ID pemilik (OWNERS) yang sama.
  • Kode backdoor identik.
  • Nama command yang sama.
  • Infrastruktur pendukung yang saling terkait.

Daftar OWNERS tersebut juga digunakan malware untuk mencegah backdoor aktif apabila dijalankan pada sistem milik pelaku sendiri.

Developer Diminta Segera Menghapus Paket

Developer yang pernah memasang salah satu paket di atas disarankan segera:

  • Menghapus seluruh paket berbahaya dari proyek.
  • Mengganti seluruh password dan kredensial pada server yang terdampak.
  • Mencabut (revoke) seluruh Telegram Bot Token.
  • Melakukan pemeriksaan menyeluruh terhadap sistem untuk memastikan tidak ada backdoor tambahan yang masih aktif.

Checkmarx juga telah mempublikasikan sejumlah Indicators of Compromise (IoC), termasuk daftar Telegram ID dan profil yang digunakan oleh pelaku untuk membantu proses investigasi.


Sumber: Checkmarx

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button