Investigadores de Kaspersky detectaron tres paquetes maliciosos en PyPI que instalan el malware ZiChatBot en Windows y Linux. Este software utiliza la aplicación Zulip como servidor de control para ejecutar comandos y se sospecha que es obra del grupo OceanLotus. El ataque representa una estrategia de cadena de suministro para ampliar el alcance de sus víctimas.





Investigadores de ciberseguridad han descubierto tres paquetes en el repositorio Python Package Index (PyPI) diseñados para distribuir sigilosamente una familia de malware previamente desconocida llamada ZiChatBot en sistemas Windows y Linux.

"Si bien estos paquetes wheel implementan las funciones descritas en sus páginas web de PyPI, su verdadero propósito es entregar archivos maliciosos de forma encubierta", afirmó Kaspersky. "A diferencia del malware tradicional, ZiChatBot no se comunica con un servidor de comando y control (C2) dedicado, sino que utiliza una serie de APIs REST de la aplicación de chat público Zulip como su infraestructura de C2".

La actividad ha sido descrita por la empresa rusa de ciberseguridad como un "ataque de cadena de suministro de PyPI cuidadosamente planificado y ejecutado". Los nombres de los paquetes, que ya han sido eliminados, son los siguientes:

• * uuid32-utils (1,479 descargas)
• * colorinal (614 descargas)
• * termncolor (387 descargas)

Los tres paquetes fueron subidos a PyPI en un breve periodo entre el 16 y el 22 de julio de 2025. Mientras que uuid32-utils y colorinal utilizan cargas útiles maliciosas similares, termncolor es un paquete de apariencia benigna que lista a colorinal como una dependencia.

En los sistemas Windows, una vez instalado cualquiera de los dos primeros paquetes, el código malicioso extrae un dropper DLL ("terminate.dll") y lo escribe en el disco. En el momento en que la librería se importa en un proyecto, se carga la DLL, que actúa como instalador de ZiChatBot, tras lo cual establece una entrada de auto-ejecución en el Registro de Windows y ejecuta código para eliminarse del sistema anfitrión.

La versión para Linux del dropper de objeto compartido ("terminate.so") planta el malware en la ruta "/tmp/obsHub/obs-check-update" y configura una entrada en el crontab. Independientemente del sistema operativo en el que se ejecute, ZiChatBot está diseñado para ejecutar shellcode recibido desde su servidor C2. Tras ejecutar el comando, el malware envía un emoji de corazón como respuesta para señalizar al servidor que la operación tuvo éxito.

No está claro quién está detrás de la campaña. Sin embargo, Kaspersky señaló que el dropper comparte una "similitud del 64%" con otro dropper utilizado por un grupo de hacking alineado con Vietnam llamado OceanLotus (también conocido como APT32).

A finales de 2024, se observó que el actor de amenazas atacaba a la comunidad de ciberseguridad china con proyectos de Visual Studio Code envenenados, disfrazados de plugins de Cobalt Strike, para entregar un troyano que se ejecuta automáticamente al compilar el proyecto. El malware utiliza el servicio de notas Notion como C2, según un análisis de ThreatBook.

Kaspersky destacó que si la campaña de la cadena de suministro de PyPI es efectivamente obra de OceanLotus, representa la estrategia del actor de amenazas para ampliar su alcance de objetivos.

"Aunque los correos electrónicos de phishing siguen siendo un método común de infección inicial para OceanLotus, el grupo también está explorando activamente nuevas formas de comprometer a las víctimas a través de diversos ataques a la cadena de suministro", concluyó.

Fuente:
THN