Investigadores de ciberseguridad han detectado una campaña de la cadena de suministro en PyPI que distribuía un malware nuevo, llamado ZiChatBot, a través de tres paquetes que parecían legítimos pero que ocultaban un mecanismo de entrega malicioso. La innovación técnica más llamativa es el uso de APIs públicas de una aplicación de chat en equipo como infraestructura de comando y control (C2), en lugar de servidores C2 tradicionales, lo que dificulta la detección por tráfico sospechoso hacia dominios privados.
Los paquetes, que ya fueron retirados de PyPI tras el informe, se subieron en una ventana corta en julio de 2025 y en conjunto tuvieron miles de descargas. Su comportamiento demuestra una táctica cada vez más habitual: pequeños proyectos con funcionalidades aparentemente inocuas que sirven como puerta de entrada para dropperes nativos en Windows y Linux. En la plataforma Windows el payload coloca y carga una DLL llamada "terminate.dll", crea persistencia en el registro y trata de borrar evidencias; en Linux el equivalente es "terminate.so" plantado en "/tmp/obsHub/obs-check-update" con una entrada de crontab para persistencia. El malware ejecuta shellcode recibido por REST y confirma la ejecución con un emoji de corazón hacia su C2 en Zulip.
Más allá de cómo funciona ZiChatBot, el episodio tiene implicaciones estratégicas: el uso de servicios legítimos (como Zulip o, en campañas previas atribuidas a grupos similares, Notion) como canal de control complica la respuesta, porque el tráfico parece normal y los proveedores públicos no están diseñados para actuar como infraestructura de amenazas. Esto eleva el riesgo para entornos de desarrollo y despliegue que aceptan dependencias externas sin controles fuertes, especialmente cuando esas dependencias contienen componentes binarios o ruedas (wheels) compiladas.
La atribución no está confirmada, aunque los analistas mencionaron similitudes con un dropper empleado por el actor conocido como OceanLotus (APT32). Si se confirma, sería coherente con la tendencia del grupo a diversificar vectores más allá del phishing tradicional y a emplear técnicas de cadena de suministro para escalar su alcance. Sea quien sea el autor, el vector es lo relevante: atacantes están perfeccionando el abuso de repositorios públicos.
Para desarrolladores y equipos de seguridad esto significa ajustar tanto procesos como controles técnicos. Recomendaciones prácticas incluyen auditar dependencias antes de integrarlas en proyectos productivos, desconfiar de paquetes nuevos con pocas descargas que declaran dependencias inesperadas, y revisar la presencia de binarios nativos o ruedas dentro de paquetes. Herramientas de auditoría de dependencias como pip-audit ayudan a identificar vulnerabilidades conocidas, y la página de seguridad de PyPI ofrece pautas y mecanismos de reporte que conviene conocer: https://pypi.org/security/.
Desde la perspectiva operativa, hay acciones concretas de detección y recuperación: buscar y eliminar archivos indicadores como "terminate.dll" y "terminate.so", revisar entradas de Autostart en el Registro de Windows y cronjobs en servidores Linux, y monitorear conexiones salientes hacia APIs de Zulip u otros servicios de terceros. También es prudente generar un SBOM para los entornos críticos, forzar revisión humana de cambios de dependencias en pipelines CI/CD, y aplicar políticas de restricción de ejecución de binarios no firmados.
Las organizaciones deben además fortalecer su estrategia de gobernanza de paquetes: exigir firmas y 2FA a propietarios de paquetes críticos, limitar permisos de instalación en entornos sensibles y aplicar aislamiento fuerte en entornos de desarrollo para que una instalación accidental no comprometa infraestructuras de producción. Recursos de mejores prácticas en seguridad de la cadena de suministro del software pueden consultarse en la guía de CISA sobre supply chain: https://www.cisa.gov/supply-chain.
Finalmente, los mantenedores de proyectos open source y administradores de repositorios deben activar mecanismos de revisión y alertas ante paquetes con código nativo o comportamientos inusuales. La lección clave es que la seguridad de la cadena de suministro requiere vigilancia continua: los atacantes migran rápido a vectores que amplifican impacto y camuflan tráfico malicioso dentro de servicios legítimos. Implementar controles preventivos y capacidades de detección temprana es hoy más crítico que nunca.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...