Cybersecurity-Forscher haben eine PyPI-Versorgungskette Kampagne entdeckt, die eine neue Malware, genannt ZiChatBot, durch drei Pakete verteilt, die legitim schien, aber versteckte einen bösartigen Liefermechanismus. Die auffälligste technische Innovation ist die Verwendung von öffentlichen APIs einer Team-Chat-Anwendung als Befehls- und Kontrollinfrastruktur (C2), anstelle von traditionellen C2-Servern, die es schwierig macht, für verdächtige Verkehr zu privaten Domains zu erkennen.
Die Pakete, die bereits nach dem Bericht von PyPI entfernt wurden, wurden im Juli 2025 in einem kurzen Fenster hochgeladen und hatten zusammen Tausende von Downloads. Sein Verhalten zeigt eine immer häufigere Taktik: kleine Projekte mit scheinbar harmlosen Features, die als Gateway für native Droppers in Windows und Linux dienen. Auf der Windows-Plattform die Nutzlastplätze und laden eine DLL namens "terminate.dll", schafft Beharrlichkeit in der Platte und versucht, Beweise zu löschen; in Linux das Äquivalent ist "terminate.so" gepflanzt in "/ tmp / obsHub / obs-check-update" mit einem Crontab-Eintrag für Beharrlichkeit. Die Malware läuft Shellcode empfangen von REST und bestätigt die Ausführung mit einem Herzen Emoji in Richtung seiner C2 in Zulip.
Jenseits von ZiChat Bot-Werke, die Folge hat strategische Auswirkungen: die Nutzung von legitimen Dienstleistungen (wie Zulip oder, in früheren Kampagnen, die ähnlichen Gruppen zugeschrieben, Notion) als Kontrollkanal erschwert die Reaktion, weil Verkehr scheint normal und öffentliche Lieferanten nicht als Bedrohungsinfrastruktur zu handeln. Dies erhöht das Risiko für Entwicklungs- und Einsatzumgebungen, die externe Einheiten ohne starke Kontrollen akzeptieren insbesondere dann, wenn diese Einheiten binäre Komponenten oder kompilierte Räder enthalten.
Die Zuschreibung wird nicht bestätigt, obwohl Analysten erwähnt Ähnlichkeiten mit einem Tropfer verwendet von dem Schauspieler OceanLotus (APT32). Wenn bestätigt, wäre es im Einklang mit der Tendenz der Gruppe, Vektoren jenseits der traditionellen Phishing zu diversifizieren und Supply-Chain-Techniken zu verwenden, um seinen Umfang zu skalieren. Wer immer der Autor ist, der Vektor ist relevant: Angreifer perfektionieren den Missbrauch von öffentlichen Repositories.
Für Entwickler und Sicherheitsausrüstung bedeutet dies, sowohl Prozesse als auch technische Steuerungen anzupassen. Praktische Empfehlungen beinhalten die Prüfung von Abhängigkeiten, bevor sie in produktive Projekte integriert werden, das Misstrauen neuer Pakete mit wenigen Downloads, die unerwartete Abhängigkeiten erklären, und die Überprüfung der Präsenz von nativen Binaries oder Rädern innerhalb von Paketen. Instrumente für die Prüfung von Einheiten Pip-Audit helfen, bekannte Schwachstellen zu identifizieren, und die PyPI-Sicherheitsseite bietet Richtlinien und Meldemechanismen, die Sie wissen sollten: https: / / pypi.org / sicherheit /.
Aus betrieblicher Sicht gibt es konkrete Erkennungs- und Wiederherstellungsaktionen: Suchen und Entfernen von Indikatordateien wie "terminate.dll" und "terminate.so", überprüfen Autostart-Einträge in der Windows Registry und chronJobs auf Linux-Servern und überwachen ausgehende Verbindungen zu Zulip APIs oder anderen Drittanbieter-Diensten. Es ist auch bedauerlich, ein SBOM für kritische Umgebungen zu erzeugen, die menschliche Überprüfung von Änderungen in CI / CD-Einheiten zu zwingen und Politiken zu implementieren, um die Ausführung von nicht unterzeichneten Binaries einzuschränken.
Organisationen sollten auch ihre Paket-Governance-Strategie stärken: Unterschriften und 2FA für kritische Paketbesitzer benötigen, Installationsgenehmigungen in sensiblen Umgebungen begrenzen und starke Isolation in Entwicklungsumgebungen anwenden, so dass eine versehentliche Installation die Produktionsinfrastruktur nicht beeinträchtigt. Software Supply Chain Security Best Practice Ressourcen finden Sie im CISA Supply Chain Guide: https: / / www.cisa.gov / Lieferkette.
Schließlich müssen Open Source-Projektmanager und Repository-Manager Überprüfungsmechanismen und Warnungen an native Code-Pakete oder ungewöhnliche Verhaltensweisen aktivieren. Die Schlüsselstunde ist, dass die Sicherheit der Lieferkette eine kontinuierliche Überwachung erfordert: Angreifer wandern schnell zu Vektoren, die Auswirkungen verstärken und schädlichen Verkehr innerhalb legitimer Dienste zu tarnen. Die Implementierung von präventiven Kontrollen und frühen Erkennungsfunktionen ist jetzt kritischer als je zuvor.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...