Pesquisadores de cibersegurança identificaram três pacotes no repositório Python Package Index (PyPI) criados para entregar de forma furtiva uma família de malware até então desconhecida, chamada ZiChatBot, em sistemas Windows e Linux.
“Embora esses pacotes wheel realmente implementem os recursos descritos em suas páginas no PyPI, seu verdadeiro objetivo é entregar arquivos maliciosos de forma oculta”, afirmou a Kaspersky.
“Diferentemente de um malware tradicional, o ZiChatBot não se comunica com um servidor dedicado de command and control (C2), mas usa uma série de APIs REST do aplicativo público de chat em equipe Zulip como sua infraestrutura de C2.”
A empresa russa de cibersegurança descreveu a atividade como um “ataque de supply chain ao PyPI cuidadosamente planejado e executado”.
Os nomes dos pacotes, que já foram removidos, são os seguintes:
- uuid32-utils (1.479 downloads)
- colorinal (614 downloads)
- termncolor (387 downloads)
Os três pacotes foram enviados ao PyPI em uma janela curta, entre 16 e 22 de julho de 2025.
Enquanto uuid32-utils e colorinal usam payloads maliciosos semelhantes, termncolor aparenta ser inofensivo e lista colorinal como dependência.
Em sistemas Windows, depois que qualquer um dos dois primeiros pacotes é instalado, o código malicioso extrai um DLL dropper, chamado “terminate.dll”, e o grava em disco.
Quando a biblioteca é importada em um projeto, a DLL é carregada, atuando como dropper do ZiChatBot.
Em seguida, ela cria uma entrada de execução automática no Registro do Windows e executa um código para se apagar do host.
Na versão para Linux, o dropper em arquivo compartilhado, “terminate.so”, instala o malware no caminho “/tmp/obsHub/obs-check-update” e configura uma entrada no crontab.
Independentemente do sistema operacional, o ZiChatBot foi projetado para executar shellcode recebido de seu servidor de C2.
Após executar o comando, o malware envia um emoji de coração como resposta, para indicar ao servidor que a operação foi bem-sucedida.
Ainda não está claro quem está por trás da campanha.
No entanto, a Kaspersky informou que o dropper compartilha 64% de similaridade com outro dropper usado por um grupo de hackers alinhado ao Vietnã, conhecido como OceanLotus, também chamado de APT32.
No fim de 2024, esse threat actor foi visto mirando a comunidade de cibersegurança da China com projetos maliciosos do Visual Studio Code disfarçados de plugins do Cobalt Strike, para entregar um trojan que é executado automaticamente quando o projeto é compilado.
Segundo uma análise da ThreatBook, o malware usa o serviço de anotações Notion como infraestrutura de C2.
A Kaspersky observou que, se a campanha de supply chain no PyPI for realmente obra do OceanLotus, isso reforça a estratégia do threat actor de ampliar seu escopo de alvos.
“Embora emails de phishing ainda sejam um método inicial de infecção comum para o OceanLotus, o grupo também está explorando ativamente novas formas de comprometer vítimas por meio de diversas campanhas de supply chain”, afirmou a empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...