Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

PyPI пакети испорачуваат ZiChatBot малициозен софтвер преку Zulip API на Windows и Linux

Објавено: 07.05.2026

Истражувачи за сајбер безбедност открија три пакети на складиштето Python Package Index (PyPI) кои се дизајнирани тајно да испорачуваат претходно непознато семејство на малициозен софтвер наречен ZiChatBot на Windows и Linux системи.

„Иако овие wheel пакети ги имплементираат функциите опишани на нивните PyPI страници, нивната вистинска цел е тајно да доставуваат малициозни датотеки,“ соопшти Kaspersky. „За разлика од традиционалниот малициозен софтвер, ZiChatBot не комуницира со посебен command-and-control (C2) сервер, туку користи серија REST API повици од јавната тимска chat апликација Zulip како своја C2 инфраструктура.“

Активноста е опишана како „внимателно испланиран и изведен PyPI supply chain напад“ од страна на руската компанија за сајбер безбедност. Имињата на пакетите, кои во меѓувреме се отстранети, се:

  • uuid32-utils (1.479 преземања)
  • colorinal (614 преземања)
  • termncolor (387 преземања)

Сите три пакети биле поставени на PyPI во краток период помеѓу 16 и 22 јули 2025 година. Додека uuid32-utils и colorinal користеле слични малициозни payload-и, termncolor изгледал како безопасен пакет кој го наведува colorinal како зависност.

На Windows системите, штом се инсталира еден од првите два пакети, малициозниот код извлекува DLL dropper („terminate.dll“) и го запишува на дискот. Кога библиотеката ќе се вчита во проект, DLL-от се активира и го инсталира ZiChatBot, по што креира auto-run запис во Windows Registry и извршува код за самобришење од системот.

Linux верзијата на dropper-от („terminate.so“) го поставува малициозниот софтвер во патеката „/tmp/obsHub/obs-check-update“ и конфигурира crontab запис за автоматско стартување.

Без разлика на оперативниот систем, ZiChatBot е дизајниран да извршува shellcode добиен од својот C2 сервер. По извршување на командата, малициозниот софтвер испраќа emoji со срце како потврда дека операцијата била успешна.

Засега не е познато точно кој стои зад кампањата. Сепак, Kaspersky наведува дека dropper-от има „64% сличност“ со друг dropper користен од хакерската група поврзана со Виетнам, OceanLotus (позната и како APT32).

Кон крајот на 2024 година, оваа група била забележана како ја таргетира кинеската сајбер безбедносна заедница со заразени Visual Studio Code проекти кои се претставувале како Cobalt Strike plugins, со цел испорака на тројанец кој автоматски се активира при компајлирање на проектот. Според анализа на ThreatBook, малициозниот софтвер ја користел апликацијата Notion како C2 инфраструктура.

Kaspersky истакнува дека ако оваа PyPI supply chain кампања навистина е дело на OceanLotus, тоа покажува дека групата ја проширува својата стратегија и опсегот на таргетирање.

„Иако phishing email пораки сè уште се чест метод за почетна инфекција кај OceanLotus, групата активно истражува нови начини за компромитирање жртви преку различни supply chain напади,“ наведуваат од компанијата.

Извори:

  • The Hacker News – PyPI Packages Deliver ZiChatBot Malware via Zulip APIs on Windows and Linuxd The Hacker News