Malware verstopt in onschuldig ogend Python-pakket

In dit artikel:

Onderzoekers van Zscaler ThreatLabz waarschuwen voor een kwaadaardig Python-pakket met de naam termncolor dat zich voordoet als een legitiem kleurhulpmiddel. Bij installatie laadt het pakket een tweede component (colorinal) die op zijn beurt het script unicode.py uitvoert; dat script bevat een verborgen DLL die de eigenlijke malware activeert. Na inzet verwijdert de malware zowel unicode.py als de bijbehorende DLL om detectie te bemoeilijken. Er bestaan varianten voor zowel Windows als Linux, waardoor de aanval een breed bereik heeft.

In een volgende fase wordt een component libcef.dll geactiveerd die systeemgegevens (computernaam, gebruikersnaam, OS-versie) verzamelt en naar een command-and-control‑server stuurt. Om communicatie te camoufleren gebruikt de aanvaller de open‑source chatapplicatie Zulip, waarmee de datastromen meer op legitiem verkeer lijken. Zscaler koppelt drie actieve gebruikersaccounts aan de campagne en meldt dat de vermoedelijke auteur sinds 10 juli 2025 actief is geweest, met ruim 90.000 berichten en 23 MB aan bestanden op het platform.

Advies: wees terughoudend met onbekende PyPI‑pakketten (let op typosquatting), controleer package‑eigenaars, gebruik virtuele omgevingen en dependency‑scans en monitor ongewoon uitgaand netwerkverkeer. Artikelauteur: Wouter Hoeffnagel (Manager Online content, Dutch IT Media).