ZiChatBot malvera koristi Zulip API za naredbe - nova pretnja preko PyPI
ZiChatBot malvera koristi Zulip API za upravljanje - distribuirana preko lažnih Python paketa na PyPI platformi od strane OceanLotus APT grupe.
Šta se desilo?
Otkrivena je nova malvera nazvan ZiChatBot koja koristi javne REST API-je legitimnog alata za timsku komunikaciju Zulip kako bi primala naredbe od svojih operatora. Malvera je distribuirana preko lažnih Python paketa objavljenih na PyPI platformi od jula 2025. godine. Jedinstvena karakteristika ovog napada je što se sva komunikacija odvija kroz legitimnu Zulip platformu, što čini detekciju daleko težom jer saobraćaj izgleda kao normalna razvojna aktivnost.
Koga pogađa?
Primarni cilj su Python razvojni inženjeri koji instaliraju biblioteke sa PyPI platforme. ZiChatBot je cross-platform malvera koja ugrožava kako Windows tako i Linux sisteme, što znači da mogu biti napadnuti razvojni timovi, sistem administratori i individualni korisnici koji koriste zaražene pakete. Prema analizama, malvera je povezana sa OceanLotus APT grupom (poznata i kao APT32), što ukazuje da su iza napada stoje napredne persistentne pretnje.
Kako se zaštititi?
- Hitno proverite koje Python pakete ste instalirali sa PyPI - posebno uuid32-utils, colorinal i termncolor
- Dodajte helper.zulipchat.com na listu blokiranih domenâ u vaš zaštitni perimetar
- Proverite log fajlove na zaraženim sistemima i izvršite čišćenje ako postoje indikatori ugrožavanja
- Pratite razvoj situacije kroz zvanične CERT preporuke i ažuriranja bezbednosnih alata
- Pomno pregledate zavisnosti Python paketa pre nego što ih instalirate - izbjegavajte pakete sa sumnjivim nazivima
- Implementirajte nadzor nad sistemskim registrima i crontab stavkama za detektovanje pokušaja održavanja persistencije
Tehnički detalji
ZiChatBot koristi dva odvojena kanala unutar Zulip platforme - jedan za slanje sistem informacija sa zaraženog računara, a drugi za preuzimanje i izvršavanje shellcode-a. Malvera se predstavlja sa emoji srcem kao potvrdom izvršene naredbe. Na Windows sistemima, malvera je DLL fajl libcef.dll koji se učitava kroz legitimni izvršni fajl vcpktsvr.exe, sa persistencijom kroz registry auto-run unose. Na Linux sistemima, payload se nalazi u /tmp/obsHub/obs-check-update sa crontab ulazima za održavanje pristupa. Napadi koriste AES enkripciju u CBC modu za skrivanje osetljivih stringova i payload-â. Kaspersky je detektovao 64% sličnosti koda između ZiChatBot dropper-a i prethodno poznatog dropper-a povezanog sa OceanLotus APT grupom. Zaraženi PyPI paketi su: termncolor-3.1.0-py3-none-any.whl, uuid32-utils, i colorinal-0.1.7-py3-none-xxxx.whl.
Preporuka Sajber Radara
Preporučujemo svim razvoj timovima da odmah provere svoje Python okruženja i brzo uklone zaražene pakete. Ova sofisticirana kampanja pokazuje kako napredne grupe stiču pristup globalnim razvojnim lancima nabavke kroz javne repozitorijume - čini je besplatan i dostupan onima koji koriste Python. Obavezno postavite stroga kriterijume za verifikaciju paketa koje instalirate i pratite preporuke Kaspersky i PyPI timova.
