Oceanlotus

Pesquisadores de cibersegurança identificaram três pacotes no repositório Python Package Index (PyPI) que têm como objetivo oculto a entrega de uma nova família de malware chamada ZiChatBot, afetando sistemas Windows e Linux. Segundo a Kaspersky, embora os pacotes ‘uuid32-utils’, ‘colorinal’ e ’termncolor’ apresentem funcionalidades legítimas, sua verdadeira intenção é disseminar arquivos maliciosos. O malware ZiChatBot se diferencia por não se comunicar com um servidor de comando e controle (C2) tradicional, utilizando em vez disso APIs REST do aplicativo de chat Zulip. Os pacotes foram carregados entre 16 e 22 de julho de 2025, e, ao serem instalados, extraem um dropper DLL no Windows e um dropper de objeto compartilhado no Linux, que se auto-exclui após a execução. A Kaspersky sugere que a campanha pode estar ligada ao grupo de hackers OceanLotus, que já foi observado utilizando métodos semelhantes para comprometer a comunidade de cibersegurança na China. Essa nova abordagem de ataque representa uma evolução nas táticas do grupo, que busca ampliar seu escopo de alvos.