هجوم OceanLotus على PyPI: كيف استخدم ZiChatBot دردشة Zulip للأوامر والتحكم

بحسب Securelist التابعة لكاسبرسكي، لاحظ الباحثون الحزم الخبيثة بدءاً من يوليو/تموز 2025، وشاركوا المعلومات مع مجتمع الأمن السيبراني العام، ثم أزيلت البرمجية من المستودع.^[3] اللافت هنا أن الحزم لم تكن مجرد ملفات عشوائية؛ فقد كانت تنفذ فعلاً الميزات المعلنة على صفحاتها في PyPI، لكن هدفها الحقيقي كان تمرير ملفات خبيثة خلسة.^[3][4]

أما نسبة النشاط إلى OceanLotus فتحتاج قراءة دقيقة. نص Securelist يقول إن العينات أُرسلت إلى Kaspersky Threat Attribution Engine وإن الحزم قد تكون مرتبطة ببرمجيات نوقشت في تقرير استخبارات تهديدات عن OceanLotus.^[3] في المقابل، يورد فهرس أبحاث التهديدات لدى كاسبرسكي صياغة أكثر مباشرة، قائلاً إن الشركة تنسب نشاط PyPI/ZiChatBot إلى OceanLotus APT.^[6] وتصف خلاصة عامة درجة الثقة في النسبة بأنها متوسطة.^[2]

سلسلة العدوى: حزمة نافعة من الخارج، مُسقِط خبيث من الداخل

تصف التقارير المتاحة سلسلة عدوى عابرة للمنصات. الحزم استهدفت كلاً من ويندوز ولينكس، وكانت توصل ZiChatBot عبر برامج إسقاط مضمّنة داخل الحزمة.^[1][2][6]

إحدى الخلاصات العامة تشرح المسار على النحو الآتي: استخراج مُسقِط بصيغة DLL أو ملف .SO من حزمة wheel، ثم إنشاء آلية بقاء عبر سجل ويندوز Windows Registry أو عبر crontab في لينكس، قبل نشر ZiChatBot على النظام.^[2]

هذا النوع من التصميم يهم فرق الأمن في بيئات التطوير تحديداً: جهاز مطور، مشغل بناء، بيئة افتراضية، صورة حاوية، أو خادم يقوم بتثبيت حزم من PyPI قد يصبح نقطة دخول إذا جرى تثبيت حزمة تبدو عادية لكنها تحمل حمولة مخفية.

كيف استغل ZiChatBot واجهات Zulip؟

النقطة الأبرز في ZiChatBot هي أسلوب الأوامر والتحكم C2. التقارير عن نتائج كاسبرسكي تقول إن البرمجية لم تتواصل مع خادم أوامر وتحكم مخصص كما تفعل كثير من البرمجيات الخبيثة، بل استخدمت سلسلة من واجهات REST API الخاصة بـ Zulip، وهو تطبيق دردشة للفرق، كبنية C2.^[4]

هذا مهم لأن واجهات Zulip الموثقة تدعم عمليات رسائل يمكن أن تناسب نموذج C2 مبنياً على الدردشة: إرسال الرسائل، جلبها، رفع الملفات، تعديل الرسائل أو حذفها، بناء نطاقات تصفية للرسائل، والتعامل مع مواضيع القنوات.^[17][21] كما توضح وثائق بوتات Zulip أن البوتات يمكنها رؤية الرسائل المرسلة من المستخدمين ومعالجتها، ثم إرسال رسائل جديدة كردود.^[19]

بصياغة عملية عالية المستوى: يمكن أن تظهر تعليمات المشغل كرسائل أو رسائل مرتبطة بموضوع محدد، بينما تجلب البرمجية الخبيثة ما يخصها وتعيد النتائج عبر منصة الدردشة نفسها. المصادر المتاحة هنا لا تكشف مساحة عمل Zulip المحددة، ولا بيانات اعتماد البوت، ولا تسلسل نقاط النهاية، ولا قائمة أوامر ZiChatBot؛ لذلك يبقى الوصف الأدق هو أن ZiChatBot أساء استخدام وظائف Zulip REST API المشروعة للأوامر والتحكم بدلاً من الاعتماد على بنية C2 يملكها المهاجمون مباشرة.^{[4][17][19][21]}

لماذا لا يعني ذلك أن Zulip اختُرق؟

زاوية Zulip لا تعني، وفق المعطيات المنشورة، أن خدمة Zulip نفسها تعرضت لاختراق. الدليل المتاح يشير إلى إساءة استخدام واجهات بوتات ورسائل طبيعية، لا إلى كسر أمني في منصة الدردشة.^[4][19][21]

بالنسبة للمدافعين، الدرس أوسع من اسم خدمة واحدة: حركة C2 قد تبدو كاتصال طبيعي مع منصة تعاون معروفة. الاعتماد على قوائم حظر للنطاقات المشبوهة فقط قد لا يكفي في مثل هذا السيناريو؛ الأهم هو سؤال سياقي: هل لهذا الجهاز أو العملية أو حساب الخدمة سبب مشروع للاتصال بواجهات Zulip أصلاً؟^[4][21]

ما الذي يجب فحصه الآن؟

إذا كانت بيئتك تعتمد على Python وPyPI، فالأولوية ليست الذعر بل الجرد والتحقق المنهجي:

1. جرد الحزم: ابحث في أجهزة المطورين، مشغلات البناء، البيئات الافتراضية، ملفات القفل، وصور الحاويات عن uuid32-utils وcolorinal وtermncolor.^[1][2]
2. مراجعة الخط الزمني: راجع عمليات تثبيت PyPI منذ يوليو/تموز 2025 فصاعداً، وهي الفترة التي أشارت إليها كاسبرسكي لبداية رفع حزم wheel الخبيثة.^[3]
3. فحص آليات البقاء: على أنظمة ويندوز ولينكس المشتبه بها، ابحث عن إدخالات غير متوقعة في Windows Registry أو مهام غير معتادة في crontab، بما يتوافق مع ملخص سلسلة العدوى المنشور.^[2]
4. مراقبة استخدام Zulip API: راقب سجلات الشبكة والعمليات بحثاً عن اتصالات Zulip API صادرة من مفسرات Python، عمليات تثبيت الحزم، عمال CI، أو خوادم لا تستخدم Zulip عادة.^[4][21]
5. لا تثق بالحزمة لأنها تعمل: حقيقة أن الحزمة تقدم الوظيفة المعلنة لا تنفي الخطر؛ كاسبرسكي قالت إن الحزم الخبيثة نفذت ميزاتها الظاهرة بينما كانت توصل ملفات خبيثة في الخلفية.^[3][4]

الخلاصة

الحملة التي ربطتها كاسبرسكي بـ OceanLotus تدور حول حزم wheel خبيثة على PyPI، أبرزها uuid32-utils وcolorinal وtermncolor. هذه الحزم عملت كمُسقِطات لبرمجية ZiChatBot على ويندوز ولينكس، أما بصمتها التقنية الأوضح فكانت استخدام واجهات Zulip REST API كقناة أوامر وتحكم بدلاً من خادم C2 مخصص.^[1][2][4][6]