Cybersicherheitsforscher haben drei Pakete im **Python Package Index (PyPI)**-Repository entdeckt, die darauf ausgelegt waren, eine bisher unbekannte Malware-Familie namens **ZiChatBot** auf Windows- und Linux-Systemen heimlich zu verbreiten. "Während diese Wheel-Pakete die auf ihren PyPI-Webseiten beschriebenen Funktionen implementieren, ist ihr eigentlicher Zweck die heimliche Bereitstellung von bösartigen Dateien", sagte **Kaspersky**. "Im Gegensatz zu herkömmlicher Malware kommuniziert ZiChatBot nicht mit einem dedizierten Command-and-Control (C2)-Server, sondern nutzt stattdessen eine Reihe von REST-APIs der öffentlichen Team-Chat-App **Zulip** als seine C2-Infrastruktur." ### Bösartige Pakete Die Aktivität wurde von dem russischen Cybersicherheitsunternehmen als "sorgfältig geplanter und ausgeführter PyPI-Supply-Chain-Angriff" beschrieben. Die bösartigen Pakete, die inzwischen von PyPI entfernt wurden, umfassen: * uuid32-utils (1.479 Downloads) * colorinal (614 Downloads) * termncolor (387 Downloads) Diese Pakete wurden zwischen dem 16. und 22. Juli 2025 hochgeladen. Während `uuid32-utils` und `colorinal` ähnliche bösartige Payloads enthielten, listet `termncolor` `colorinal` als Abhängigkeit auf. ### Infektionsprozess Auf Windows-Systemen extrahiert die Installation von `uuid32-utils` oder `colorinal` einen DLL-Dropper (`terminate.dll`) und schreibt ihn auf die Festplatte. Wenn die Bibliothek importiert wird, lädt die DLL und fungiert als Dropper für ZiChatBot. Anschließend richtet sie einen Auto-Run-Eintrag in der Windows-Registrierung ein und löscht sich selbst vom Host. Die Linux-Version des Shared-Object-Droppers (`terminate.so`) platziert die Malware im Pfad `/tmp/obsHub/obs-check-update` und konfiguriert einen Crontab-Eintrag. Unabhängig vom Betriebssystem führt ZiChatBot Shellcode aus, der vom C2-Server empfangen wird. Nach Ausführung des Befehls sendet die Malware ein Herz-Emoji als Antwort, um dem Server den Erfolg der Operation zu signalisieren. ### Zuschreibung Der Akteur hinter dieser Kampagne bleibt unklar. **Kaspersky** stellt jedoch eine "64%ige Ähnlichkeit" zwischen dem Dropper und einem anderen Dropper fest, der von **OceanLotus** (auch bekannt als APT32), einer mit Vietnam verbundenen Hacking-Gruppe, verwendet wurde. Ende 2024 wurde beobachtet, wie **OceanLotus** die chinesische Cybersicherheitsgemeinschaft mit vergifteten Visual Studio Code-Projekten ins Visier nahm, die sich als Cobalt Strike-Plugins ausgaben. Dieser Angriff lieferte einen Trojaner, der die Notion-Notiz-App als C2 nutzte, so **ThreatBook**. **Kaspersky** vermutet, dass diese PyPI-Supply-Chain-Kampagne, falls sie **OceanLotus** zugeschrieben wird, eine Ausweitung des Zielspektrums des Bedrohungsakteurs darstellt. "Obwohl Phishing-E-Mails für OceanLotus immer noch eine gängige Methode für die Erstinfektion sind, erkundet die Gruppe auch aktiv neue Wege, um Opfer durch verschiedene Supply-Chain-Angriffe zu kompromittieren", erklärten sie.