اكتشف خبراء الأمن السيبراني ثلاث حزم برمجية على مستودع PyPI الشهير، تبين أنها مصممة لتوزيع عائلة برمجيات خبيثة جديدة تحمل اسم ZiChatBot على أنظمة ويندوز ولينكس. هذا الاكتشاف يسلط الضوء على خطورة الهجمات عبر سلاسل التوريد البرمجية، والتي باتت وسيلة مفضلة لدى مجموعات القرصنة المتقدمة لاختراق المؤسسات والمطورين على حد سواء.
تفاصيل الحزم الخبيثة على PyPI
وفقًا لشركة Kaspersky، فإن الحزم الثلاثة التي تم رفعها بين 16 و22 يوليو 2025 هي:
- uuid32-utils (بعدد تنزيلات بلغ 1479)
- colorinal (614 تنزيلًا)
- termncolor (387 تنزيلًا)
الحزمتان الأوليان حملتا شيفرات خبيثة مباشرة، بينما جاءت الحزمة الثالثة بشكل بريء ظاهريًا لكنها اعتمدت على الحزمة المصابة “colorinal” كاعتماد برمجي. هذه الاستراتيجية تعكس التخطيط الدقيق للهجوم، حيث تم إخفاء البرمجية الخبيثة داخل مكتبات تبدو طبيعية للمطورين.
آلية عمل ZiChatBot على ويندوز ولينكس
على أنظمة ويندوز، يقوم الكود الخبيث باستخراج ملف DLL باسم “terminate.dll” وكتابته على القرص، ليعمل لاحقًا كـ”dropper” ينشر ZiChatBot ويضيف نفسه إلى سجل النظام لتشغيل تلقائي، ثم يحذف آثاره لتجنب الاكتشاف.
أما على أنظمة لينكس، فيتم زرع ملف “terminate.so” داخل المسار “/tmp/obsHub/obs-check-update”، مع إضافة مهمة مجدولة عبر crontab لضمان التنفيذ المستمر.
اللافت أن ZiChatBot لا يعتمد على خوادم تحكم تقليدية، بل يستخدم واجهات REST APIs الخاصة بتطبيق المحادثة الجماعية Zulip كقناة اتصال سرية، حيث يرسل رمزًا تعبيريًا على شكل قلب بعد تنفيذ الأوامر للتأكيد على نجاح العملية.
خلفيات مرتبطة بمجموعة OceanLotus
رغم عدم وضوح هوية الجهة المسؤولة عن الحملة، أشارت Kaspersky إلى أن “dropper” المستخدم يتشابه بنسبة 64% مع أداة استخدمتها مجموعة OceanLotus (المعروفة أيضًا بـ APT32) المرتبطة بفيتنام. هذه المجموعة سبق أن استهدفت المجتمع الأمني الصيني في أواخر 2024 عبر مشاريع مزيفة على Visual Studio Code، تضمنت إضافات خبيثة لـ Cobalt Strike، واستخدمت خدمة Notion كخادم تحكم.
إذا ثبت أن OceanLotus وراء هذه الحملة، فإن ذلك يعكس توسع استراتيجيتها نحو استهداف مطوري البرمجيات عبر منصات مفتوحة المصدر مثل PyPI، في محاولة لاستغلال الثقة التي يضعها المطورون في هذه المستودعات.
دلالات الهجوم على سلاسل التوريد البرمجية
الهجوم الأخير يعكس اتجاهًا متناميًا لدى مجموعات القرصنة المتقدمة نحو استغلال سلاسل التوريد البرمجية بدلًا من الاعتماد فقط على رسائل التصيد التقليدية. فالمطورون الذين يدمجون هذه الحزم في مشاريعهم يصبحون ضحايا غير مباشرين، مما يفتح الباب أمام اختراقات واسعة النطاق.
هذا النوع من الهجمات يفرض على المؤسسات والمطورين ضرورة تعزيز آليات التحقق من مصادر الحزم البرمجية، والاعتماد على أدوات فحص متقدمة قبل دمج أي مكتبة خارجية في مشاريعهم.
