答案已發布18 來源
OceanLotus 相關 PyPI 攻擊:ZiChatBot 點樣借 Zulip API 做指揮控制
Kaspersky 指出,由 2025 年 7 月起,有惡意 Python wheel 套件被上載到 PyPI,向 Windows 及 Linux 投放 ZiChatBot;Kaspersky 的公開歸因由「可能相關」到其威脅研究索引的「歸因 OceanLotus APT」不等。[3][6] 公開報道點名 uuid32 utils、colorinal、termncolor 三個假套件;它們看似有功能,但同時暗中派送惡意檔案。[1][2][3][4] ZiChatBot 的特別之處,是濫用 Zulip REST API 作 command and control,而非連去攻擊者自設 C2;防守要查異常 Zulip API 流量及...
3.0M0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: OceanLotus PyPI Attack: How ZiChatBot Abused Zulip APIs for C2. Article summary: Kaspersky linked a July 2025 malicious PyPI wheel package campaign—uuid32 utils, colorinal and termncolor—to OceanLotus; the packages targeted Windows and Linux and delivered a new malware family, ZiChatBot.. Topic tags: cybersecurity, malware, pypi, python, supply chain security. Reference image context from search candidates: Reference image 1: visual subject "Through our daily threat hunting, we noticed that, beginning in July 2025, a series of malicious wheel packages were uploaded to PyPI (the Python Package Index). We shared this inf" source context "OceanLotus suspected of distributing ZiChatBot malware via wheel packages in PyPI | Securelist" Reference image 2: visual subject "In a calculated move that signals the expansion of st
先講清楚:今次事件應該理解為針對 Python 用戶的惡意套件分發/供應鏈攻擊,而唔係 PyPI 或 Zulip 服務本身被攻陷。Kaspersky 的 Securelist 文章指,研究員由 2025 年 7 月起發現一批惡意 Python wheel(.whl)套件被上載到 Python Package Index(PyPI,即 Python 套件庫),相關資訊已分享畀公開保安社群,而惡意程式其後亦已由 repository 移除。
真正值得留意的位,不只是攻擊者利用 PyPI,而是 ZiChatBot 的指揮控制(command-and-control,C2)設計:根據報道引述 Kaspersky 分析,ZiChatBot 並非連去一個攻擊者自設的 C2 伺服器,而是使用公開團隊聊天應用 Zulip 的 REST API 作 C2 基建。
Kaspersky 發現咗乜
Kaspersky 指,這些惡意 wheel 套件並非單純壞檔或空殼。它們會實作 PyPI 頁面上聲稱提供的功能,但真正目的,是暗中投放惡意檔案。 The Hacker News 亦報道同一項 Kaspersky 發現:這批套件表面上可以正常運作,但設計上是要在 Windows 及 Linux 系統偷偷派送此前未見過的 ZiChatBot malware。
公開報道點名涉及今次活動的三個假 PyPI library:
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「OceanLotus 相關 PyPI 攻擊:ZiChatBot 點樣借 Zulip API 做指揮控制」的簡短答案是什麼?
Kaspersky 指出,由 2025 年 7 月起,有惡意 Python wheel 套件被上載到 PyPI,向 Windows 及 Linux 投放 ZiChatBot;Kaspersky 的公開歸因由「可能相關」到其威脅研究索引的「歸因 OceanLotus APT」不等。[3][6]
首先要驗證的關鍵點是什麼?
Kaspersky 指出,由 2025 年 7 月起,有惡意 Python wheel 套件被上載到 PyPI,向 Windows 及 Linux 投放 ZiChatBot;Kaspersky 的公開歸因由「可能相關」到其威脅研究索引的「歸因 OceanLotus APT」不等。[3][6] 公開報道點名 uuid32 utils、colorinal、termncolor 三個假套件;它們看似有功能,但同時暗中派送惡意檔案。[1][2][3][4]
接下來在實務上我該做什麼?
ZiChatBot 的特別之處,是濫用 Zulip REST API 作 command and control,而非連去攻擊者自設 C2;防守要查異常 Zulip API 流量及 Windows Registry/Linux crontab 持久化。[2][4][21]
來源
- securelist.comOceanLotus suspected of using PyPI to deliver ZiChatBot malware
- thehackernews.comPyPI Packages Deliver ZiChatBot Malware via Zulip APIs on ...
- radar.offseq.comOceanLotus suspected of distributing ZiChatBot malware via wheel ...
- app.daily.devOceanLotus suspected of distributing ZiChatBot malware... - daily.dev
- securelist.comKaspersky's threat research and reports
- zulip.comGet topics in a channel | Zulip API documentation
Loading comments...
Comments
0 comments