Attaque supply chain via PyPI: le package malveillant termncolor déploie un malware multi‑étapes avec C2 sur Zulip
Selon Zscaler ThreatLabz, dans une publication de recherche sur une attaque de supply chain visant les développeurs Python, un package PyPI nommé termncolor importe une dépendance malveillante (colorinal) pour lancer une chaîne d’attaque sophistiquée affectant Windows et Linux. L’attaque débute lorsque termncolor importe colorinal, dont le fichier unicode.py charge terminate.dll via ctypes.CDLL. La DLL utilise un chiffrement AES-CBC avec la clé “xterminalunicode” pour déchiffrer et déposer deux fichiers dans %LOCALAPPDATA%\vcpacket: vcpktsvr.exe (fichier signé légitime) et libcef.dll (charge utile malveillante). La persistance est assurée via la clé Run du Registre Windows. ...