گروه OceanLotus چیست؟
OceanLotus یک گروه APT فعال است که عمدتاً سازمانهای منطقه آسیا-پاسیفیک را هدف قرار میدهد. تیم تحقیقاتی کسپرسکی در گزارشی که ۴ آوریل ۲۰۲۶ منتشر شد، یک روش حمله کاملاً جدید از این گروه کشف کرد: آلودهسازی بستههای Python در مخزن PyPI برای انتشار بدافزار ZiChatBot.
حمله Supply Chain به PyPI چگونه کار میکرد؟
مهاجمان سه پکیج Python جعلی در مخزن عمومی PyPI آپلود کردند که شبیه کتابخانههای قانونی بودند:
- uuid32-utils — جعلی به جای کتابخانه uuid اصلی
- colorinal — حاوی بدافزار اصلی
- termncolor — بستهای که colorinal را بهعنوان dependency معرفی میکرد تا زنجیره حمله پنهان بماند
کافی است یک دولوپر یا ادمین سیستم یکی از این بستهها را نصب کند تا دستگاهش آلوده شود.
بدافزار ZiChatBot چیست؟
ZiChatBot یک بدافزار کاملاً جدید با یک ویژگی خاص است: هیچ C2 اختصاصی ندارد. بهجای آن، از REST API برنامه چت سازمانی Zulip بهعنوان زیرساخت کنترل استفاده میکند. این یعنی ترافیک بدافزار از ابزارهای فیلترینگ سنتی عبور میکند.
قابلیتهای فنی ZiChatBot
- پشتیبانی از هر دو سیستمعامل Windows (terminate.dll) و Linux (terminate.so)
- رمزنگاری رشتههای حساس با AES و XOR
- ماندگاری در Windows از طریق Registry و در Linux از طریق Crontab
- قابلیت اجرای Shellcode برای نفوذ عمیقتر
چرا این حمله برای سازمانها خطرناک است؟
اگر تیم توسعه سازمان شما از Python استفاده میکند، نصب یک بسته آلوده کافی است تا کل سیستم را در معرض خطر قرار دهد. کسپرسکی تأیید کرد که این بستهها ۶۴٬ شباهت کد با سایر بدافزارهای OceanLotus دارند — یعنی این گروه در حال توسعه فعالانه زرسیخال خود است.
راهکارهای کسپرسکی برای محافظت
- Kaspersky EDR Optimum: شناسایی بستههای آلوده Python قبل از اجرا
- Kaspersky KATA: شناسایی حملات Supply Chain در سطح شبکه
- Kaspersky Threat Intelligence: دسترسی به IOCهای OceanLotus و ZiChatBot
- Kaspersky KICS: محافظت سیستمهای Linux صنعتی در برابر terminate.so
منبع: گزارش رسمی کسپرسکی — ۴ آوریل ۲۰۲۶
تماس با فدک رایان — نماینده پلاتینیوم کسپرسکی در ایران
برای دریافت مشاوره رایگان درباره محافظت از سازمان شما در برابر تهدیدات Supply Chain با کارشناسان فدک رایان تماس بگیرید:
- 📞 تلفن: 021-752655 | 021-73094217
- 📧 ایمیل: info@fadak.co
- 🌐 وبسایت: fadak.co/تماس