Pesquisadores de cibersegurança descobriram uma campanha da cadeia de fornecimento em PyPI que distribuía um novo malware, chamado ZiChatBot, através de três pacotes que pareciam legítimos, mas que ocultavam um mecanismo de entrega malicioso. A inovação técnica mais chamativa é o uso de APIs públicas de uma aplicação de chat em equipe como infraestrutura de comando e controle (C2), em vez de servidores C2 tradicionais, o que dificulta a detecção por tráfico suspeito para domínios privados.
Os pacotes, que já foram retirados do PyPI após o relatório, subiram numa janela curta em julho de 2025 e em conjunto tiveram milhares de downloads. Seu comportamento demonstra uma tática cada vez mais habitual: pequenos projetos com funcionalidades aparentemente inócuas que servem como porta de entrada para dropperes nativos no Windows e Linux. Na plataforma Windows, o payload coloca e carrega um DLL chamado "terminate.dll", cria persistência no registro e tenta apagar evidências; no Linux o equivalente é "terminate.so" plantado em "/tmp/obsHub/obs-check-update" com uma entrada de crontab para persistência. O malware executa shellcode recebido por REST e confirma a execução com um emoji de coração para seu C2 em Zulip.
Além de como o ZiChatBot funciona, o episódio tem implicações estratégicas: o uso de serviços legítimos (como Zulip ou, em campanhas anteriores atribuídas a grupos similares, Notion) como canal de controle complica a resposta, porque o tráfego parece normal e os fornecedores públicos não são projetados para atuar como infraestrutura de ameaças. Isto aumenta o risco para ambientes de desenvolvimento e implantação que aceitam dependências externas sem controlos fortes, especialmente quando essas dependências contêm componentes binários ou rodas (wheels) compiladas.
A atribuição não é confirmada, embora os analistas mencionaram semelhanças com um dropper empregado pelo ator conhecido como OceanLotus (APT32). Se confirmado, seria coerente com a tendência do grupo a diversificar vetores além do phishing tradicional e a empregar técnicas de cadeia de abastecimento para escalar seu alcance. Seja quem for o autor, o vetor é o relevante: atacantes estão aprimorando o abuso de repositórios públicos.
Para desenvolvedores e equipamentos de segurança isso significa ajustar tanto processos quanto controles técnicos. Recomendações práticas incluem auditar dependências antes de as integrar em projetos produtivos, desconfiar de pacotes novos com poucas descargas que declaram dependências inesperadas, e revisar a presença de binários nativos ou rodas dentro de pacotes. Ferramentas de auditoria de dependências como pip-audit ajudam a identificar vulnerabilidades conhecidas, e a página de segurança do PyPI oferece diretrizes e mecanismos de reporte que convém conhecer: https://pypi.org/security/.
Do ponto de vista operacional, há ações concretas de detecção e recuperação: procurar e remover arquivos indicadores como "terminate.dll" e "terminate.so", rever entradas de Autostart no Registro do Windows e cronjobs em servidores Linux, e monitorar conexões salientes para APIs de Zulip ou outros serviços de terceiros. Também é prudente gerar um SBOM para os ambientes críticos, forçar revisão humana de mudanças de dependências em pipelines CI/CD, e aplicar políticas de restrição de execução de binários não assinados.
As organizações também devem fortalecer a sua estratégia de governação de pacotes: exigir assinaturas e 2FA para proprietários de pacotes críticos, limitar as permissões de instalação em ambientes sensíveis e aplicar isolamento forte em ambientes de desenvolvimento para que uma instalação acidental não comprometa infra-estruturas de produção. Recursos de melhores práticas em segurança da cadeia de fornecimento do software podem ser consultados no guia da CISA sobre seupply chain: https://www.cisa.gov/supply-chain.
Finalmente, os mantenedores de projetos open source e administradores de repositórios devem ativar mecanismos de revisão e alertas ante pacotes com código nativo ou comportamentos incomuns. A lição-chave é que a segurança da cadeia de abastecimento requer vigilância contínua: os atacantes migram rápido a vetores que amplificam impacto e camuflan tráfego malicioso dentro de serviços legítimos. Implementar controlos preventivos e capacidades de detecção precoce é hoje mais crítico do que nunca.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...