PyPI Packages Deliver ZiChatBot Malware via Zulip APIs on Windows and Linux

1 minute de lecture

Mis à jour : May 07, 2026

Campagne de malwares ZiChatBot via des paquets PyPI piégés

Des chercheurs en cybersécurité ont identifié trois paquets malveillants sur le dépôt PyPI (uuid32-utils, colorinal, termncolor) conçus pour infecter les systèmes Windows et Linux avec une nouvelle famille de malwares baptisée ZiChatBot. Cette attaque par chaîne d’approvisionnement utilise une méthode d’exfiltration et de contrôle inhabituelle en détournant les API publiques de la plateforme de messagerie Zulip en guise de serveur de commande et de contrôle (C2), évitant ainsi le recours à des serveurs dédiés.

Points clés :

Nature de l’attaque : Installation de paquets Python légitimes en apparence qui téléchargent un dropper (DLL sur Windows, fichier .so sur Linux) au moment de l’importation de la bibliothèque.
Persistance : Création d’entrées de registre (Windows) ou de tâches crontab (Linux).
Communication : Le malware exécute du shellcode reçu via les API Zulip et confirme la réussite des opérations en envoyant un emoji “cœur” en guise de signal.
Attribution potentielle : Des similitudes techniques (64 %) suggèrent une implication du groupe APT OceanLotus (Vietnam).

Vulnérabilités :

Aucune CVE n’est associée, car il s’agit d’une attaque par empoisonnement de la chaîne d’approvisionnement logicielle (typosquatting et dépendances malveillantes) plutôt que d’une faille logicielle spécifique.

Recommandations :

Audit des dépendances : Vérifier systématiquement le code source des bibliothèques tierces intégrées aux projets, particulièrement celles ayant peu de téléchargements ou des noms ambigus.
Surveillance réseau : Restreindre les communications sortantes vers des services tiers non autorisés si l’application n’en a pas besoin pour ses fonctions de base.
Principe de moindre privilège : Exécuter les processus d’installation ou les environnements de développement avec des droits limités pour restreindre l’accès au système (écriture dans /tmp ou modification du registre).
Suppression : Si ces paquets ont été installés, nettoyer les entrées de registre, les fichiers dropper (terminate.dll / /tmp/obsHub/obs-check-update) et les tâches planifiées associées.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

PyPI Packages Deliver ZiChatBot Malware via Zulip APIs on Windows and Linux

Campagne de malwares ZiChatBot via des paquets PyPI piégés

Partager sur

Vous pourriez aimer

Webinar: Why modern attacks require both security and recovery

Vers une cyber-résilience intégrée pour les MSP

vm2 Node.js Library Vulnerabilities Enable Sandbox Escape and Arbitrary Code Execution

Vulnérabilités critiques de la bibliothèque Node.js vm2 : Évasions de bac à sable

Tp-Link Archer AX53 v1.0 Openvpn configuration restore script_security OS command injection vulnerability

Vulnérabilité d’injection de commandes sur les routeurs TP-Link Archer AX53

Tp-Link Archer AX53 v1.0 Openvpn configuration restore client_connect OS command injection vulnerability

Vulnérabilité d’injection de commandes dans le routeur TP-Link Archer AX53