Attenzione ai Pacchetti PyPI: Rivelato Malware ZiChatBot Attraverso API Zulip Recenti ricerche nel campo della cybersecurity hanno messo in luce una campagna malevola insidiosa, che sfrutta pacchetti disponibili sull'indice Python Package Index (PyPI) per infettare i sistemi operativi Windows e…
Attenzione ai Pacchetti PyPI: Rivelato Malware ZiChatBot Attraverso API Zulip
Recenti ricerche nel campo della cybersecurity hanno messo in luce una campagna malevola insidiosa, che sfrutta pacchetti disponibili sull’indice Python Package Index (PyPI) per infettare i sistemi operativi Windows e Linux con un nuovo tipo di malware denominato ZiChatBot. Questi pacchetti, che sembrano innocui a prima vista, celano invece funzionalità progettate per disseminare codice dannoso.
I Pacchetti Incriminati e il Loro Funzionamento
Secondo un report di Kaspersky, questi pacchetti malevoli sono stati distribuiti tramite PyPI tra il 16 e il 22 luglio 2025. I nomi dei pacchetti rimossi sono:
- uuid32-utils (1.479 download)
- colorinal (614 download)
- termncolor (387 download)
Anche se uuid32-utils e colorinal condividono carichi malevoli, termncolor appare inoffensivo, poiché designato come dipendente di colorinal. Una volta installati, i primi due pacchetti estraggono un file DLL malevolo (“terminate.dll”) che si installa silenziosamente nel sistema. Questo file, una volta attivato, inserisce un entry nel registro di Windows per eseguire automaticamente il malware all’avvio del sistema.
Per gli utenti Linux, invece, viene creato un “dropper” condiviso nella directory “/tmp/obsHub/obs-check-update”, accompagnato da un’entrata nel crontab per garantirne l’esecuzione automatica. Il comportamento del malware è comune a entrambi i sistemi operativi: esegue shellcode ricevuto da un server di comando e controllo (C2) e segnala il successo delle operazioni tramite l’invio di un’emoji a forma di cuore.
Chi Si Nasconde Dietro il Malware?
Sebbene non si conosca con certezza l’identità degli autori di questa campagna, Kaspersky ha rilevato che il “dropper” presenta una somiglianza del 64% con un altro strumento utilizzato da un gruppo di hacker vietnamiti noto come OceanLotus (detto anche APT32). Questo gruppo è precedentemente noto per il suo targeting contro attivisti e comunità considerati avversari politici. Nel 2024, OceanLotus utilizzava pacchetti di Visual Studio Code per distribuire trojan a danno della comunità di cybersecurity cinese, dimostrando un’evoluzione nelle sue tecniche di attacco.
Implicazioni per gli Utenti e le Aziende in Italia
L’emergere di tali minacce rappresenta una preoccupazione significativa anche per gli utenti e le aziende in Italia. Con la crescente digitalizzazione e il ricorso a strumenti di sviluppo open source, la vulnerabilità ai pacchetti compromessi come quelli di PyPI è un rischio che non può essere ignorato. Le aziende che dipendono da software di terze parti devono rafforzare le loro misure di sicurezza e monitoraggio, tenendo presente che le tecniche di attacco sono in continua evoluzione e perfezionamento.
Conclusione
La recente scoperta del malware ZiChatBot sottolinea l’importanza di rimanere vigili nei confronti delle forniture software. È fondamentale che ogni sviluppatore e azienda implemente pratiche di sicurezza robuste, eseguendo controlli approfonditi sulle librerie e i pacchetti utilizzati. In un panorama tecnologico in continua evoluzione, la protezione informatica deve essere una priorità per prevenire danni potenziali, sia a livello individuale che aziendale.
