Tri zloslutna paketa na PyPI-u distribuirala novo malware porodicu ZiChatBot
Istraživači su identifikovali tri paketa na Python Package Index koja su tajno isporučivala malware ZiChatBot preko Zulip API-ja na Windows i Linux sisteme.
Šta se desilo?
Bezbednosni istraživači iz Kaspersky-ja otkrili su tri zlonamerna paketa na PyPI repositorijumu (uuid32-utils, colorinal i termncolor) koja su bila zamaskirana kao legitimne biblioteke. Paketi su dizajnirani da tajno instaliraju novo malware porodicu zvanu ZiChatBot na Windows i Linux sisteme. Neobičnu osobinu ovog malvera čini činjenica što koristi javnu chat aplikaciju Zulip kao infrastrukturu za komunikaciju sa napadačima, umesto tradicionalnih command-and-control servera.
Koga pogađa?
Direktno su pogođeni razvojni inženjeri i programeri koji su instalirali zaražene pakete iz PyPI repositorijuma. Kako su paketi u kratkom vremenu preuzeti nekoliko stotina puta, opasnost je bila značajna. Primarni ciljani auditorijum čine开発者 koji koriste Python ekosistem za razvoj softverskih aplikacija na oba operativna sistema.
Kako se zaštititi?
- Odmah audituirajte sve instalovane Python pakete i uklonite uuid32-utils, colorinal i termncolor ako su prisutni
- Izvedite dubinsku analizu sistema na kojem su ovi paketi bili instalirani - radi pronalaženja znakova ZiChatBot malvera
- Obavezno ažurirajte sve Python pakete samo sa zvaničnog PyPI repozitorijuma i proverite autentičnost izdavača
- Koristite alate za skeniranje zavisnosti (dependency scanning tools) u vašoj razvojnoj infrastrukturi
- Primenite principom minimalne privilegije na razvojnim mašinama
- Aktivirajte monitoring za neobične procese i konekcije prema eksternim servisima
Tehnički detalji
Paketi su postavljeni na PyPI tokom kratkoga perioda (16-22. jul 2025). Na Windows sistemima, maliciozni kod ekstraktuje DLL dropper (terminate.dll) koji se učitava pri inicijalizaciji biblioteke, instalira ZiChatBot i pravi auto-run zapis u Registry-ju. Linux verzija dropper-a (terminate.so) postavlja malver u /tmp/obsHub/obs-check-update putanju i konfigurira crontab zapise za automatsko pokretanje. ZiChatBot je dizajniran da preuzima i izvršava shellcode komande iz C2 servera, a potom šalje emoji sa srcem kao potvrdu izvršene akcije.
Veza sa APT32 grupom
Kaspersky je pronašao 64% sličnost između dropper-a korišćenog u ovoj kampanji i dropper-a koji koristi hejkerska grupa OceanLotus (poznata i kao APT32), povezana sa Vijetnamom. Ako je potvrđeno da je OceanLotus odgovorna, ovo ukazuje da grupa proširuje svoje taktike napada na supply chain nivou. Grupa je ranije koristila chat aplikaciju Notion kao C2 infrastrukturu u sličnim kampanjama.
Preporuka Sajber Radara
Čak i nakon uklanjanja paketa sa PyPI-ja, svi razvojni sistemi koji su ih preuzeli trebaju da budu detaljno analizirani i remedijalizovani. Ova kampanja demonstrira rastući trend napada na Python ekosistem i potrebu za povećanom vigilantnošću pri instalaciji zavisnosti - preporuka je uvek ispisati listu paketa koji će biti instalirani i direktno verificirati njihove izdavače.
