安全公司卡巴斯基近日披露黑客组织OceanLotus（APT32）对PyPI仓库的攻击活动。自2025年7月起，攻击者上传了一系列恶意软件包，这些软件包确实具备其宣称的功能，但实际会根据受害计算机的操作系统，加载Windows或Linux版本的恶意载荷工具（Dropper），最终植入恶意软件ZiChatBot。卡巴斯基向PyPI维护团队通报后，相关软件包已被移除。

该恶意软件的特殊之处在于，它并未采用传统的命令与控制（C2）机制，而是滥用开源聊天与协作平台Zulip的REST API进行通信。ZiChatBot可接收黑客发送的Shellcode，执行完成后，会回传爱心表情符号（Emoji）以确认成功。