Het Zscaler ThreatLabz-team heeft tijdens hun doorlopende onderzoek naar dreigingen in de zomer een verdacht Python-pakket genaamd termncolor ontdekt. Dit pakket leek op het eerste gezicht onschuldig, maar was dat niet. Dat deze dreiging werd ontdekt in een Python-pakket, benadrukt de noodzaak om open source-ecosystemen en -bestanden goed te monitoren vóór gebruik in de eigen omgeving.
Termncolor doet zich voor en functioneert als een kleurhulpprogramma voor Python. Op het eerste gezicht lijkt het dan ook legitiem. Termncolor importeert echter ook een andere software genaamd ‘colorinal’, wat de aftrap is van een meerlaagse malware-aanval.
Colorinal start met het installeren van unicode.py, welke cruciaal is voor de werking van de malware. Op het eerste gezicht lijkt unicode.py een normaal Python-script voor kleurprogramma’s. De analyse van het ThreatLabz-team onthult echter dat dit script een DDL laadt die vervolgens de payload van de malware implementeert. Hiermee start de eerste fase van de aanval. Om detectie te voorkomen, verwijdert de malware zowel unicode.py als de DLL na uitvoering. De malware bevat naast Windows ook een Linux-variant om zijn bereik te vergroten.
De malware maakt gebruik van legitieme communicatieplatforms om informatie te delen met de aanvaller
De tweede fase van de aanval begint met de uitvoering een libcef.dll. Dit is de component die de bestanden uit de eerste aanvalsfase volledig verwijdert. Libcef.dll is specifiek ontworpen om cruciale systeeminformatie te verzamelen en deze te delen met de door de aanvaller beheerde C2-server. Deze informatie omvat onder meer de computernaam, gebruikersnaam en de versie van het besturingssysteem.
Om deze informatie te communiceren maakt deze malware gebruik van open source-chatapplicatie Zulip. Door legitieme communicatiepatronen na te bootsen poogt de malware om zijn activiteiten te verhullen. Zscaler ThreatLabz heeft drie actieve gebruikers ontdekt die in verband konden worden gebracht met het uitvoeren van deze malware-campagne. De auteur is vermoedelijk actief sinds 10 juli 2025 en er zijn in totaal 90.692 berichten uitgewisseld op het platform met een totale bestandsopslag van 23 MB.
Deze analyse laat zien hoe aanvallers schijnbaar legitieme Python-pakketten gebruiken om een meerlaagse malware-aanval te lanceren. Belangrijk om te vermelden is dat de pakketten die bij deze aanval betrokken waren inmiddels uit de Python Package Index zijn verwijderd. Dat betekent echter niet dat dit soort aanvallen niet meer voorkomen. Het is essentieel dat organisaties een strategie implementeren en afdwingen om dit soort open source-bestanden te monitoren en analyseren voordat ze gebruikt worden in interne projecten.
29 en 30 oktober 2025 Deze 2-daagse cursus is ontworpen om dataprofessionals te voorzien van de kennis en praktische vaardigheden die nodig zijn om Knowledge Graphs en Large Language Models (LLM's) te integreren in hun workflows voor datamodel...
3 t/m 5 november 2025Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ri...
17 t/m 19 november 2025 De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot...
25 en 26 november 2025 Worstelt u met de implementatie van data governance of de afstemming tussen teams? Deze baanbrekende workshop introduceert de Data Governance Sprint - een efficiënte, gestructureerde aanpak om uw initiatieven op het...
26 november 2025 Workshop met BPM-specialist Christian Gijsels over AI-Gedreven Business Analyse met ChatGPT. Kunstmatige Intelligentie, ongetwijfeld een van de meest baanbrekende technologieën tot nu toe, opent nieuwe deuren voor analisten met ...
8 t/m 10 juni 2026Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ri...
Alleen als In-house beschikbaarWorkshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunc...
Deel dit bericht