คำตอบเผยแพร่แล้ว4 สัปดาห์ที่ผ่านมาLast edited สัปดาห์ที่แล้ว18 แหล่งที่มา

OceanLotus-linked PyPI attack: ZiChatBot ใช้ Zulip API เป็น C2 อย่างไร

Kaspersky รายงานว่าแพ็กเกจ wheel อันตรายถูกอัปโหลดขึ้น PyPI ตั้งแต่เดือนกรกฎาคม 2025 เพื่อส่ง ZiChatBot ไปยังระบบ Windows และ Linux โดยมีรายงานสาธารณะเชื่อมโยงกิจกรรมนี้กับ OceanLotus จุดเด่นของ ZiChatBot คือการใช้ Zulip REST APIs เป็นโครงสร้าง command and control แทนการติดต่อเซิร์ฟเวอร์ C2 เฉพาะที่ผู้โจมตีควบคุมเอง...

ค้นหาและตรวจสอบข้อเท็จจริงด้วย Studio Global AI ดูหน้าที่กำลังมาแรงเพิ่มเติม

3.0M0

Illustration of a malicious Python package using a chat API for command-and-control — OceanLotus PyPI Attack: How ZiChatBot Abused Zulip APIs for C2AI-generated editorial illustration of the ZiChatBot PyPI campaign and Zulip API command-and-control technique.
AI พรอมต์
Create a landscape editorial hero image for this Studio Global article: OceanLotus PyPI Attack: How ZiChatBot Abused Zulip APIs for C2. Article summary: Kaspersky linked a July 2025 malicious PyPI wheel package campaign—uuid32 utils, colorinal and termncolor—to OceanLotus; the packages targeted Windows and Linux and delivered a new malware family, ZiChatBot.. Topic tags: cybersecurity, malware, pypi, python, supply chain security. Reference image context from search candidates: Reference image 1: visual subject "Through our daily threat hunting, we noticed that, beginning in July 2025, a series of malicious wheel packages were uploaded to PyPI (the Python Package Index). We shared this inf" source context "OceanLotus suspected of distributing ZiChatBot malware via wheel packages in PyPI | Securelist" Reference image 2: visual subject "In a calculated move that signals the expansion of st
openai.com

สำหรับทีมที่ใช้ Python ประเด็นสำคัญของกรณีนี้ไม่ใช่ข่าวว่า PyPI หรือ Zulip ถูกเจาะระบบ แต่เป็นแคมเปญกระจายแพ็กเกจอันตรายผ่านระบบนิเวศโอเพนซอร์สที่นักพัฒนาคุ้นเคยอยู่แล้ว รายงานสาธารณะระบุว่าแพ็กเกจ Python wheel ถูกอัปโหลดขึ้น PyPI ตั้งแต่เดือนกรกฎาคม 2025 และแอบส่งมัลแวร์ตระกูลใหม่ชื่อ ZiChatBot ไปยังเครื่อง Windows และ Linux

สิ่งที่ทำให้แคมเปญนี้น่าจับตาคือวิธีสั่งการหลังติดเชื้อ ZiChatBot ไม่ได้สื่อสารกับเซิร์ฟเวอร์ command-and-control หรือ C2 เฉพาะทางแบบมัลแวร์ทั่วไป แต่ใช้ REST APIs ของ Zulip ซึ่งเป็นแอปแชตสำหรับทีม มาเป็นโครงสร้าง C2 แทน

Kaspersky พบอะไรใน PyPI

รายงานของ Kaspersky บน Securelist ระบุว่านักวิจัยพบแพ็กเกจ wheel อันตรายหลายรายการที่ถูกอัปโหลดขึ้น Python Package Index หรือ PyPI ตั้งแต่เดือนกรกฎาคม 2025 จากนั้นได้แชร์ข้อมูลกับชุมชนความปลอดภัย และมัลแวร์ถูกนำออกจากรีโพซิทอรีแล้ว

แพ็กเกจเหล่านี้ไม่ได้เป็นเพียงแพ็กเกจว่างหรือทำงานเสีย ๆ หาย ๆ เพื่อหลอกตา Kaspersky ระบุว่า wheel เหล่านี้ยังทำฟีเจอร์ตามที่โฆษณาไว้บนหน้า PyPI ได้จริง แต่เป้าหมายที่แท้จริงคือการลอบส่งไฟล์อันตรายลงเครื่องผู้ใช้ The Hacker News รายงานประเด็นเดียวกันว่าแพ็กเกจดูเหมือนใช้งานได้ แต่ถูกออกแบบมาเพื่อส่ง ZiChatBot อย่างแนบเนียนบน Windows และ Linux

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

ค้นหาและตรวจสอบข้อเท็จจริงด้วย Studio Global AI

คนยังถาม

คำตอบสั้น ๆ สำหรับ "OceanLotus-linked PyPI attack: ZiChatBot ใช้ Zulip API เป็น C2 อย่างไร" คืออะไร

ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?

ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?

ทีมความปลอดภัยควรค้นหาแพ็กเกจที่ถูกระบุ ตรวจไทม์ไลน์การติดตั้งตั้งแต่กรกฎาคม 2025 ตรวจ persistence ใน Registry หรือ crontab และไล่ดูทราฟฟิก Zulip API ที่ผิดบริบท

แหล่งที่มา

Comments

0 comments

Loading comments...

OceanLotus-linked PyPI attack: ZiChatBot ใช้ Zulip API เป็น C2 อย่างไร

Kaspersky พบอะไรใน PyPI

Search, cite, and publish your own answer

คนยังถาม

คำตอบสั้น ๆ สำหรับ "OceanLotus-linked PyPI attack: ZiChatBot ใช้ Zulip API เป็น C2 อย่างไร" คืออะไร

ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?

ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?

แหล่งที่มา

Comments

เส้นทางติดเชื้อ: จาก wheel package สู่ ZiChatBot

ZiChatBot ใช้ Zulip เป็น C2 อย่างไร

สิ่งที่รายละเอียดเรื่อง Zulip ไม่ได้หมายความว่า

ทีมความปลอดภัยควรตรวจอะไร

สรุป