Malware verstopt in onschuldig ogend Python-pakket
Een kwaadaardig Python-pakket genaamd termncolor doet zich voor als een legitiem hulpmiddel voor kleurbeheer in Python, maar is in werkelijkheid onderdeel van een meerfasige malware-aanval. Zowel een Windows- als Linux-variant van de malware is in omloop.
Hiervoor waarschuwen onderzoekers van Zscaler ThreatLabz. Het pakket termncolor installeert bij uitvoering een tweede component, colorinal, dat op zijn beurt het script unicode.py laadt. Dit script ziet er op het eerste gezicht onschuldig uit, maar bevat een DLL-bestand dat de daadwerkelijke malware-payload activeert. Na uitvoering verwijdert de malware zowel unicode.py als de bijbehorende DLL om detectie te ontlopen. Naast een Windows-variant bestaat er ook een Linux-versie van de malware, wat het bereik vergroot.
Systeeminformatie verzamelen
In de tweede fase van de aanval wordt libcef.dll geactiveerd, een component dat systeeminformatie verzamelt zoals computernaam, gebruikersnaam en besturingssysteemversie en deze doorstuurt naar een door de aanvaller beheerde command-and-control-server (C2). Om onopgemerkt te blijven maakt de malware gebruik van de open-source chatapplicatie Zulip om gegevens te versturen. Door legitieme communicatie na te bootsen, probeert de malware zijn activiteiten te verbergen.
Volgens Zscaler ThreatLabz zijn drie actieve gebruikersaccounts gelinkt aan deze campagne. De vermoedelijke auteur is sinds 10 juli 2025 actief, met in totaal 90.692 berichten en 23 MB aan uitgewisselde bestanden op het platform.
Meer over Zscaler
Over Wouter Hoeffnagel
