Malware ZiChatBot Menyebar Lewat Paket PyPI Pakai API Zulip di Windows dan Linux

Peneliti keamanan siber baru-baru ini menemukan tiga paket di repositori Python Package Index (PyPI) yang digunakan untuk menyebarkan malware baru bernama ZiChatBot secara tersembunyi pada sistem operasi Windows dan Linux.

Kaspersky menyatakan, "Meskipun paket-paket ini memang memiliki fitur sesuai deskripsi di halaman PyPI mereka, tujuan utamanya adalah mengirimkan file berbahaya secara diam-diam." Uniknya, ZiChatBot tidak menggunakan server command-and-control (C2) tradisional, melainkan memanfaatkan serangkaian REST API dari aplikasi chat tim publik Zulip sebagai infrastruktur C2-nya.

Serangan Supply Chain PyPI yang Terencana

Perusahaan keamanan asal Rusia itu menggambarkan aktivitas ini sebagai "serangan rantai pasokan PyPI yang direncanakan dan dilaksanakan dengan cermat". Ketiga paket yang kini telah dihapus dari PyPI tersebut adalah:

• uuid32-utils (1.479 unduhan)
• colorinal (614 unduhan)
• termncolor (387 unduhan)

Ketiga paket ini diunggah dalam rentang waktu singkat antara 16 hingga 22 Juli 2025. Paket uuid32-utils dan colorinal mengandung payload berbahaya yang serupa, sementara termncolor terlihat seperti paket biasa yang menjadikan colorinal sebagai dependensi.

Cara Kerja Malware ZiChatBot di Windows dan Linux

Di sistem Windows, saat salah satu dari dua paket berbahaya terpasang, kode jahat akan mengekstrak sebuah DLL dropper bernama terminate.dll dan menulisnya ke disk. Ketika pustaka ini diimpor ke dalam proyek, file DLL tersebut dijalankan sebagai dropper untuk mengaktifkan ZiChatBot. Selanjutnya, malware ini membuat entri auto-run di Windows Registry dan menjalankan perintah untuk menghapus dirinya sendiri dari host agar tidak terdeteksi.

Sementara itu, versi Linux menggunakan shared object dropper bernama terminate.so yang menanam malware di jalur /tmp/obsHub/obs-check-update dan membuat entri crontab untuk memastikan eksekusi berkelanjutan.

Terlepas dari sistem operasi yang digunakan, ZiChatBot didesain untuk menjalankan shellcode yang diterima dari server C2 melalui API Zulip. Setelah menjalankan perintah, malware mengirimkan emoji hati sebagai sinyal ke server bahwa operasi berhasil dijalankan.

Siapa di Balik Kampanye Ini?

Identitas pelaku serangan belum jelas, namun Kaspersky mencatat bahwa dropper ini memiliki 64% kemiripan dengan dropper lain yang digunakan oleh kelompok hacker bernama OceanLotus (juga dikenal sebagai APT32) yang berafiliasi dengan Vietnam.

Pada akhir 2024, kelompok ini diketahui menargetkan komunitas keamanan siber China dengan proyek Visual Studio Code yang terkontaminasi, menyamar sebagai plugin Cobalt Strike untuk mengirimkan trojan yang otomatis dieksekusi saat proyek dikompilasi. Malware tersebut menggunakan layanan catatan Notion sebagai server C2, menurut analisis dari ThreatBook.

Kaspersky menegaskan bahwa jika kampanye PyPI ini memang dikerjakan oleh OceanLotus, maka ini mencerminkan strategi kelompok tersebut untuk memperluas metode penyerangan mereka.

"Walaupun email phishing masih menjadi metode infeksi awal yang umum digunakan OceanLotus, kelompok ini juga aktif mengeksplorasi cara baru untuk mengkompromikan korban lewat berbagai serangan rantai pasokan," ujar Kaspersky.

Analisis Redaksi

Menurut pandangan redaksi, penemuan malware ZiChatBot yang memanfaatkan repositori PyPI dan API publik Zulip sebagai server C2 menandai sebuah fase baru dalam evolusi serangan rantai pasokan perangkat lunak open source. Metode ini sangat berbahaya karena mengaburkan jejak komunikasi antara malware dan pelaku, sehingga sulit dideteksi oleh sistem keamanan tradisional.

Lebih jauh, penggunaan platform chat publik sebagai infrastruktur C2 menunjukkan kreativitas dan adaptasi para pelaku kejahatan siber dalam memanfaatkan layanan yang dianggap sah dan dipercaya oleh pengguna. Ini menjadi peringatan bagi komunitas pengembang dan pengguna open source untuk semakin waspada terhadap paket-paket yang tampak biasa, serta pentingnya penerapan kebijakan keamanan ketat pada manajemen dependensi dan audit kode secara rutin.

Ke depan, kita harus memantau apakah kelompok seperti OceanLotus akan semakin mengintensifkan serangan rantai pasokan di berbagai ekosistem perangkat lunak. Kerja sama internasional dan penguatan mekanisme keamanan repositori publik menjadi kunci untuk mencegah dampak yang lebih luas dari serangan semacam ini.

Untuk informasi lebih lengkap dan update terkini mengenai serangan siber dan keamanan IT, Anda dapat membaca laporan asli dari The Hacker News dan mengikuti berita dari sumber terpercaya lainnya.