文章总结： 越南黑客组织OceanLotus（APT32）通过PyPI仓库投毒三个软件包传播ZiChatBot恶意软件，涉及uuid32-utils等包共计约2500次下载。恶意软件会根据操作系统部署不同模块，Windows系统创建自启动项，Linux系统修改crontab，均能执行C2服务器下发的shellcode并以心形表情反馈。此次攻击体现该组织扩大攻击范围的策略转变。建议开发者谨慎安装未经验证的第三方包。 综合评分： 72 文章分类： 供应链安全,恶意软件,威胁情报,漏洞预警,安全运营

APT32 PyPI 投毒

Khan安全团队

2026年5月9日 18:47 海南

在小说阅读器读本章

去阅读

与越南结盟的黑客组织 OceanLotus（又名 APT32）感染了 Python 包索引 (PyPI) 存储库中的三个软件包，旨在悄悄传播一种名为“ZiChatBot”的未知恶意软件家族。

• uuid32-utils（下载量：1,479）

• colorinal（下载量：614）

• termncolor（下载量：387）

目前的归因来自卡巴斯基实验室，他们表示此次攻击与 OceanLotus 的相似度为 64%。类似的攻击手段包括篡改 Visual Studio Code 项目。

这三个软件包均于 2025 年 7 月 16 日至 22 日期间上传至 PyPI。uuid32-utils 和 colorinal 都使用了类似的 ZiChatBot 有效载荷，而 termncolor 则依赖 colorinal。软件包安装完成后将解压：

• terminate.dll（为 Windows 创建自动运行条目，并运行代码从主机中删除自身）

• terminate[.]so（在 crontab 中为 Linux 设置恶意软件，并修改 /tmp/obsHub/obs-check-update）

无论运行在何种操作系统上，ZiChatBot 都会执行从其 C2 服务器接收的 shellcode。执行命令后，该恶意软件会发送一个心形表情符号作为响应，以向服务器表明操作已成功。

如果 PyPI 供应链攻击活动确实是 OceanLotus 所为，则代表了该威胁行为者扩大其攻击目标范围的策略。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《APT32 PyPI 投毒》