惡意程式ZiChatBot透過PyPI套件散佈,針對Windows與Linux用戶而來
攻擊活動背景
資安公司卡巴斯基揭露駭客組織OceanLotus(APT32)於2025年7月上傳一系列惡意套件至PyPI儲存庫,這些套件被用來針對Windows與Linux用戶進行攻擊。
惡意軟體機制
這些惡意套件會根據受害電腦的作業系統,自動執行對應的惡意程式載入工具(Dropper),最終植入惡意軟體ZiChatBot。
惡意軟體功能與控制
- ZiChatBot惡意軟體透過Zulip API作為命令與控制(C2)伺服器,實現隱蔽的遠端控制。
- 攻擊活動自2025年7月16日至22日間,共上傳三套惡意套件,成功在多個系統上執行。
後續處理
在發現此攻擊活動後,卡巴斯基已向PyPI維護團隊通報,相關惡意套件隨即被下架,以防止進一步擴散。