Интересно Вредоносные пакеты PyPI распространяют ZiChatBot через Zulip API на Windows и Linux.

[Admin]

​

Исследователи кибербезопасности обнаружили три вредоносных пакета в репозитории PyPI, которые скрытно распространяют новый тип вредоносного ПО ZiChatBot на системы Windows и Linux.

Эти пакеты, несмотря на заявленные функции, предназначены для скрытой доставки вредоносных файлов, используя REST API публичного чат-приложения Zulip в качестве инфраструктуры управления.

Пакеты uuid32-utils, colorinal и termncolor были загружены в PyPI в период с 16 по 22 июля 2025 года. На Windows вредоносный код извлекает DLL-дроппер, который устанавливает ZiChatBot и создаёт автозапуск в реестре. На Linux аналогичный процесс происходит через shared object dropper, который помещает вредоносное ПО в определённый путь и настраивает задание в crontab. ZiChatBot выполняет команды, полученные от сервера управления, и отправляет подтверждение в виде эмодзи. Исследователи предполагают, что за кампанией может стоять вьетнамская хакерская группа OceanLotus.