Investigadores de ciberseguridad han descubierto tres paquetes en el repositorio Python Package Index (PyPI) diseñados para entregar de forma encubierta una familia de malware previamente desconocida llamada ZiChatBot a sistemas Windows y Linux.
«Si bien estos paquetes de ruedas implementan la funcionalidad descrita en la página web de PyPI, su verdadero propósito es entregar de forma encubierta archivos maliciosos», dijo Kaspersky. «A diferencia del malware tradicional, ZiChatBot no se comunica con un servidor de comando y control (C2) dedicado, sino que utiliza el conjunto de API REST de la aplicación pública de chat del equipo Zulip como su infraestructura C2».
La actividad ha sido descrita por la empresa rusa de ciberseguridad como un «ataque a la cadena de suministro PyPI cuidadosamente planificado y ejecutado». Los nombres de los paquetes que se han eliminado desde entonces se enumeran a continuación.
uuid32-utils (1.479 descargas) colorinal (614 descargas) termncolor (387 descargas)
Los tres paquetes se cargaron en PyPI durante un corto período de tiempo del 16 al 22 de julio de 2025. uuid32-utils y colorinal utilizan cargas útiles maliciosas similares, pero termncolor es un paquete de apariencia benigna que incluye colorinal como una dependencia.
En los sistemas Windows, cuando se instala uno de los dos primeros paquetes, el código malicioso extrae un gotero DLL (‘terminate.dll’) y lo escribe en el disco. Cuando la biblioteca se importa a su proyecto, la DLL se carga y actúa como un cuentagotas para ZiChatBot. Luego establece una entrada de ejecución automática en el registro de Windows y ejecuta código que se elimina del host.
La versión de Linux del dropper de objetos compartidos (‘terminate.so’) coloca malware en la ruta ‘/tmp/obsHub/obs-check-update’ y configura la entrada crontab. Independientemente del sistema operativo en el que se esté ejecutando, ZiChatBot está diseñado para ejecutar el código shell recibido del servidor C2. Después de ejecutar el comando, el malware envía un emoji de corazón en respuesta para informar al servidor que la operación fue exitosa.
No está exactamente claro quién está detrás de esta campaña. Sin embargo, Kaspersky dijo que el dropper comparte «un 64% de similitud» con otro dropper utilizado por un grupo de hackers vietnamita llamado OceanLotus (también conocido como APT32).
A finales de 2024, se observó que actores de amenazas apuntaban a la comunidad de ciberseguridad china utilizando proyectos envenenados de Visual Studio Code disfrazados del complemento Cobalt Strike y entregando un troyano que se ejecutaba automáticamente cuando se compilaba el proyecto. Según el análisis de ThreatBook, el malware utiliza el servicio de toma de notas Notion como C2.
Kaspersky señaló que si la campaña de la cadena de suministro de PyPI es realmente obra de OceanLotus, representa la estrategia del actor de amenazas para ampliar su alcance.
«Si bien los correos electrónicos de phishing siguen siendo un método de infección inicial común para OceanLotus, el grupo también está explorando activamente nuevas formas de comprometer a las víctimas a través de una variedad de ataques a la cadena de suministro», dijo el grupo.
Source link
