Microsoft, çevrimiçi ortamda yayılan sahte bir ChatGPT masaüstü uygulaması konusunda uyarıda bulundu. Bu uygulamanın aslında bilgi hırsızı ve arka kapı görevi gören, son derece modüler bir malware (kötü amaçlı yazılım) çatısı taşıdığı belirtildi.
Microsoft’un detaylı raporuna göre, PipeMagic olarak adlandırılan bu çatı GitHub üzerinde ortaya çıktı. Raporda, “PipeMagic bulaşmasının ilk aşaması, açık kaynaklı ChatGPT Masaüstü Uygulaması projesi gibi görünen, bellek içi kötü amaçlı bir dropper (damlalık) ile başlıyor,” denildi. Tehdit aktörünün, GitHub projesinin kötü amaçlı kod içeren değiştirilmiş bir sürümünü kullandığı ve bellekte gömülü bir payload’u (yük) şifre çözerek başlattığı ifade edildi.
Microsoft, bu malware’in Storm-2460 olarak bilinen bir tehdit aktörünün eseri olduğunu belirtti. Aynı aktörün, Nisan 2025 başlarında Common Log File System’deki sıfırıncı gün güvenlik açığını (CVE-2025-29824) kullanarak RansomEXX şifreleyicisini yaydığı da biliniyor.
Bu vakada, grubun aynı güvenlik açığını kullandığı belirtilirken, hangi şifreleyicinin dağıtıldığına dair bir bilgi verilmedi. PipeMagic’in, daha önceki raporda basit bir arka kapı trojanı olarak tanımlanmasından bu yana geliştiği görülüyor.
Şimdi ise, tehdit aktörlerinin payload’ları dinamik olarak yürütmesine, kalıcı kontrol sağlamasına ve komuta-kontrol sunucularıyla gizlice iletişim kurmasına olanak tanıyan, son derece modüler bir malware çatısı olarak tanımlanıyor. PipeMagic, bellek içinde şifrelenmiş payload modüllerini yönetebilir, yetki yükseltme işlemleri gerçekleştirebilir, kapsamlı sistem bilgilerini toplayabilir ve bağlantılı liste mimarisi aracılığıyla rastgele kod yürütebilir.
PipeMagic ayrıca, adlandırılmış borular aracılığıyla şifrelenmiş süreçler arası iletişimi destekler ve C2 altyapısından yeni modüller alarak kendini güncelleyebilir.
Microsoft, mağdur sayısının “sınırlı” olduğunu belirtirken, somut rakamlar hakkında bilgi vermedi. Hedeflerin Amerika Birleşik Devletleri, Avrupa, Güney Amerika ve Orta Doğu’da bulunduğu gözlemlendi. Hedeflenen sektörler arasında bilişim teknolojileri, finans ve emlak yer alıyor.
Tehdidi azaltmak için Microsoft, Microsoft Defender for Endpoint’te kurcalama korumasının ve ağ korumasının etkinleştirilmesi ve uç nokta algılama ve yanıtlamanın blok modunda çalıştırılması gibi katmanlı bir savunma stratejisi önerdi.
