Investigadores de ciberseguridad han descubierto tres paquetes en el repositorio del **Python Package Index (PyPI)** que fueron diseñados para entregar sigilosamente una familia de malware hasta ahora desconocida llamada **ZiChatBot** en sistemas Windows y Linux. "Si bien estos paquetes wheel implementan las características descritas en sus páginas web de PyPI, su verdadero propósito es entregar archivos maliciosos de forma encubierta", dijo **Kaspersky**. "A diferencia del malware tradicional, ZiChatBot no se comunica con un servidor dedicado de comando y control (C2), sino que utiliza una serie de APIs REST de la aplicación de chat de equipo pública **Zulip** como su infraestructura C2". ### Paquetes Maliciosos La actividad ha sido descrita como un "ataque a la cadena de suministro de PyPI cuidadosamente planificado y ejecutado" por la empresa rusa de ciberseguridad. Los paquetes maliciosos, que desde entonces han sido eliminados de PyPI, incluyen: * uuid32-utils (1,479 descargas) * colorinal (614 descargas) * termncolor (387 descargas) Estos paquetes fueron subidos entre el 16 y el 22 de julio de 2025. Mientras que `uuid32-utils` y `colorinal` contienen payloads maliciosos similares, `termncolor` lista `colorinal` como una dependencia. ### Proceso de Infección En sistemas Windows, la instalación de `uuid32-utils` o `colorinal` extrae un dropper DLL (`terminate.dll`) y lo escribe en disco. Cuando la biblioteca se importa, la DLL se carga y actúa como un dropper para ZiChatBot. Luego, establece una entrada de ejecución automática en el Registro de Windows y se elimina del host. La versión de Linux del dropper de objeto compartido (`terminate.so`) planta el malware en la ruta `/tmp/obsHub/obs-check-update` y configura una entrada de crontab. Independientemente del sistema operativo, ZiChatBot ejecuta shellcode recibido de su servidor C2. Después de ejecutar el comando, el malware envía un emoji de corazón como respuesta para señalar al servidor que la operación fue exitosa. ### Atribución El actor detrás de esta campaña sigue sin estar claro. Sin embargo, **Kaspersky** señala una "similitud del 64%" entre el dropper y otro dropper utilizado por **OceanLotus** (también conocido como APT32), un grupo de hackers alineado con Vietnam. A finales de 2024, se observó a **OceanLotus** atacando a la comunidad de ciberseguridad china con proyectos de Visual Studio Code envenenados que se hacían pasar por plugins de Cobalt Strike. Este ataque entregó un troyano que utilizaba el servicio de toma de notas Notion como su C2, según **ThreatBook**. **Kaspersky** sugiere que esta campaña de cadena de suministro de PyPI, si se atribuye a **OceanLotus**, indica una expansión del alcance de los objetivos del actor de amenazas. "Aunque los correos electrónicos de phishing siguen siendo un método común de infección inicial para OceanLotus, el grupo también está explorando activamente nuevas formas de comprometer a las víctimas a través de diversos ataques a la cadena de suministro", declararon.