Zscaler ThreatLabz ontdekt meerlaagse malware-dreiging in open source Python-bestanden

Amsterdam, 3 september 2025 – Het Zscaler ThreatLabz-team heeft tijdens hun doorlopende onderzoek naar dreigingen op 22 juli 2025 een verdacht Python-pakket genaamd termncolor ontdekt. Dit pakket leek op het eerste gezicht onschuldig, maar was dat niet. Dat deze dreiging werd ontdekt in een Python-pakket, benadrukt de noodzaak om open source-ecosystemen en -bestanden goed te monitoren vóór gebruik in de eigen omgeving.

Termncolor doet zich voor als legitiem programma
Termncolor doet zich voor en functioneert als een kleurhulpprogramma voor Python. Op het eerste gezicht lijkt het dan ook legitiem. Termncolor importeert echter ook een andere software genaamd ‘colorinal’, wat de aftrap is van een meerlaagse malware-aanval.

Figuur 1: de aanvalsketen van termncolor

Colorinal start met het installeren van unicode.py, welke cruciaal is voor de werking van de malware. Op het eerste gezicht lijkt unicode.py een normaal Python-script voor kleurprogramma’s. De analyse van het ThreatLabz-team onthult echter dat dit script een DDL laadt die vervolgens de payload van de malware implementeert. Hiermee start de eerste fase van de aanval. Om detectie te voorkomen, verwijdert de malware zowel unicode.py als de DLL na uitvoering. De malware bevat naast Windows ook een Linux-variant om zijn bereik te vergroten.

De malware maakt gebruik van legitieme communicatieplatforms om informatie te delen met de aanvaller
De tweede fase van de aanval begint met de uitvoering een libcef.dll. Dit is de component die de bestanden uit de eerste aanvalsfase volledig verwijdert. Libcef.dll is specifiek ontworpen om cruciale systeeminformatie te verzamelen en deze te delen met de door de aanvaller beheerde C2-server. Deze informatie omvat onder meer de computernaam, gebruikersnaam en de versie van het besturingssysteem.

Om deze informatie te communiceren maakt deze malware gebruik van open source-chatapplicatie Zulip. Door legitieme communicatiepatronen na te bootsen poogt de malware om zijn activiteiten te verhullen. Zscaler ThreatLabz heeft drie actieve gebruikers ontdekt die in verband konden worden gebracht met het uitvoeren van deze malware-campagne. De auteur is vermoedelijk actief sinds 10 juli 2025 en er zijn in totaal 90.692 berichten uitgewisseld op het platform met een totale bestandsopslag van 23 MB.

Conclusie
Deze analyse laat zien hoe aanvallers schijnbaar legitieme Python-pakketten gebruiken om een meerlaagse malware-aanval te lanceren. Belangrijk om te vermelden is dat de pakketten die bij deze aanval betrokken waren inmiddels uit de Python Package Index zijn verwijderd. Dat betekent echter niet dat dit soort aanvallen niet meer voorkomen. Het is essentieel dat organisaties een strategie implementeren en afdwingen om dit soort open source-bestanden te monitoren en analyseren voordat ze gebruikt worden in interne projecten.

Bezoek de website voor een uitgebreide technische analyse van deze campagne.