برترین نماینده کسپرسکی در غرب آسیا

حمله OceanLotus به PyPI با بدافزار ZiChatBot — گزارش کسپرسکی ۲۰۲۶

Telegram
WhatsApp
LinkedIn

حمله OceanLotus به PyPI با بدافزار ZiChatBot — گزارش کسپرسکی ۲۰۲۶

گروه OceanLotus چیست؟

OceanLotus یک گروه APT فعال است که عمدتاً سازمان‌های منطقه آسیا-پاسیفیک را هدف قرار می‌دهد. تیم تحقیقاتی کسپرسکی در گزارشی که ۴ آوریل ۲۰۲۶ منتشر شد، یک روش حمله کاملاً جدید از این گروه کشف کرد: آلوده‌سازی بسته‌های Python در مخزن PyPI برای انتشار بدافزار ZiChatBot.

حمله Supply Chain به PyPI چگونه کار می‌کرد؟

مهاجمان سه پکیج Python جعلی در مخزن عمومی PyPI آپلود کردند که شبیه کتابخانه‌های قانونی بودند:

  • uuid32-utils — جعلی به جای کتابخانه uuid اصلی
  • colorinal — حاوی بدافزار اصلی
  • termncolor — بسته‌ای که colorinal را به‌عنوان dependency معرفی می‌کرد تا زنجیره حمله پنهان بماند

کافی است یک دولوپر یا ادمین سیستم یکی از این بسته‌ها را نصب کند تا دستگاهش آلوده شود.

بدافزار ZiChatBot چیست؟

ZiChatBot یک بدافزار کاملاً جدید با یک ویژگی خاص است: هیچ C2 اختصاصی ندارد. به‌جای آن، از REST API برنامه چت سازمانی Zulip به‌عنوان زیرساخت کنترل استفاده می‌کند. این یعنی ترافیک بدافزار از ابزارهای فیلترینگ سنتی عبور می‌کند.

قابلیت‌های فنی ZiChatBot

  • پشتیبانی از هر دو سیستم‌عامل Windows (terminate.dll) و Linux (terminate.so)
  • رمزنگاری رشته‌های حساس با AES و XOR
  • ماندگاری در Windows از طریق Registry و در Linux از طریق Crontab
  • قابلیت اجرای Shellcode برای نفوذ عمیق‌تر

چرا این حمله برای سازمان‌ها خطرناک است؟

اگر تیم توسعه سازمان شما از Python استفاده می‌کند، نصب یک بسته آلوده کافی است تا کل سیستم را در معرض خطر قرار دهد. کسپرسکی تأیید کرد که این بسته‌ها ۶۴٬ شباهت کد با سایر بدافزارهای OceanLotus دارند — یعنی این گروه در حال توسعه فعالانه زرسیخال خود است.

راهکارهای کسپرسکی برای محافظت

منبع: گزارش رسمی کسپرسکی — ۴ آوریل ۲۰۲۶

تماس با فدک رایان — نماینده پلاتینیوم کسپرسکی در ایران

برای دریافت مشاوره رایگان درباره محافظت از سازمان شما در برابر تهدیدات Supply Chain با کارشناسان فدک رایان تماس بگیرید:

نرم افزار پیشرفته حضور و غیاب

محصولی از فدک رایان

محتوای جدول