サイバーセキュリティ研究者は、**Python Package Index (PyPI)** リポジトリ上で、WindowsおよびLinuxシステムに未知のマルウェアファミリー **ZiChatBot** をステルス的に配信するために設計された3つのパッケージを発見しました。 「これらのwheelパッケージは、PyPIのウェブページで説明されている機能を実装していますが、その真の目的は悪意のあるファイルを秘密裏に配信することです」と**Kaspersky**は述べています。「従来のマルウェアとは異なり、ZiChatBotは専用のコマンド＆コントロール（C2）サーバーと通信せず、代わりに公開されているチームチャットアプリ **Zulip** の一連のREST APIをC2インフラストラクチャとして使用します。」 ### 悪意のあるパッケージ この活動は、ロシアのサイバーセキュリティ企業によって「慎重に計画され実行されたPyPIサプライチェーン攻撃」と説明されています。PyPIから削除された悪意のあるパッケージには以下が含まれます。 * uuid32-utils (1,479ダウンロード) * colorinal (614ダウンロード) * termncolor (387ダウンロード) これらのパッケージは、2025年7月16日から22日の間にアップロードされました。`uuid32-utils` と `colorinal` は類似した悪意のあるペイロードを含んでいましたが、`termncolor` は `colorinal` を依存関係としてリストしていました。 ### 感染プロセス Windowsシステムでは、`uuid32-utils` または `colorinal` のいずれかをインストールすると、DLLドロッパー (`terminate.dll`) が展開され、ディスクに書き込まれます。ライブラリがインポートされると、DLLがロードされ、ZiChatBotのドロッパーとして機能します。その後、Windowsレジストリに自動実行エントリを設定し、ホストから自身を削除します。 共有オブジェクトドロッパーのLinuxバージョン (`terminate.so`) は、マルウェアを `/tmp/obsHub/obs-check-update` パスに配置し、crontabエントリを設定します。オペレーティングシステムに関係なく、ZiChatBotはC2サーバーから受信したシェルコードを実行します。コマンド実行後、マルウェアはハートの絵文字を応答として送信し、サーバーに操作が成功したことを通知します。 ### 帰属 このキャンペーンの背後にいる攻撃者は不明のままです。しかし、**Kaspersky**は、ドロッパーと、ベトナムに拠点を置くハッキンググループである**OceanLotus**（別名APT32）によって使用された別のドロッパーとの間に「64%の類似性」があることを指摘しています。 2024年末、**OceanLotus**は、Cobalt Strikeプラグインを装った悪意のあるVisual Studio Codeプロジェクトで中国のサイバーセキュリティコミュニティを標的としていることが観察されました。**ThreatBook**によると、この攻撃はNotionノートテイキングサービスをC2として使用するトロイの木馬を配信しました。 **Kaspersky**は、このPyPIサプライチェーンキャンペーンが**OceanLotus**に帰属する場合、脅威アクターの標的範囲の拡大を示唆していると述べています。 「フィッシングメールは依然としてOceanLotusの一般的な初期感染方法ですが、同グループは多様なサプライチェーン攻撃を通じて被害者を侵害する新しい方法を積極的に模索しています」と彼らは述べています。