PyPI Packages Deliver ZiChatBot Malware via Zulip APIs on Windows and Linux
Cybersecurity researchers have discovered three packages on the Python Package Index (PyPI) repository that are designed to stealthily deliver a previously unknown malware family called ZiChatBot on Windows and Linux systems. "While these wheel packages do implement the features described on their...
Cybersecurity-Forscher entdeckten drei PyPI-Pakete, die heimlich eine bislang unbekannte Malware-Familie namens ZiChatBot ausliefern. Betroffen sind Windows- und Linux-Systeme. Die Pakete implementieren laut Artikel zwar die beschriebenen Funktionen, enthalten aber zusätzlich Malware-Verhalten über Zulip APIs.
Nutzer von drei nicht namentlich genannten PyPI-Paketen auf Windows- und Linux-Systemen
Bösartige Pakete in öffentlichen Repositories können Entwickler- und Produktionsumgebungen über legitime Installationswege kompromittieren.
Ein scheinbar legitimes PyPI-Paket wird installiert und liefert ZiChatBot-Malware auf Windows- oder Linux-Systeme aus.
PyPI-Abhängigkeiten prüfen, Paketquellen einschränken, verdächtige Zulip-API-Kommunikation untersuchen und betroffene Hosts scannen.
- ▸Software-Bill-of-Materials und Paketlisten auf die drei betroffenen Pakete prüfen, sobald deren Namen bekannt sind.
- ▸Netzwerk- und Proxy-Logs auf unerwartete Zulip-API-Kommunikation von Entwickler- oder Serverhosts prüfen.
- ▸Validieren, ob Paketinstallationen aus PyPI über interne Mirrors, Signaturprüfungen oder Freigabeprozesse kontrolliert werden.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1195 Supply Chain Compromise | High | Der Artikel nennt drei PyPI-Pakete, die Malware ausliefern. |
| Command and Control | T1102 Web Service | Medium | Der Titel nennt die Nutzung von Zulip APIs durch ZiChatBot. |
- Namen der drei PyPI-Pakete nicht im Artikelauszug angegeben
- IOCs nicht im Artikel angegeben
- genaue Malware-Funktionen nicht im Artikel angegeben
- betroffene Versionen nicht im Artikel angegeben