Дослідники кібербезпеки виявили три пакети у репозиторії Python Package Index, призначені для прихованого встановлення раніше невідомого шкідливого програмного забезпечення під назвою ZiChatBot на системах Windows та Linux. Пакети — uuid32-utils, colorinal та termncolor — були завантажені між 16 і 22 липня 2025 року. Зафіксована кількість завантажень до видалення: 1 479 для uuid32-utils, 614 для colorinal та 387 для termncolor. На відміну від традиційного шкідливого ПЗ, ZiChatBot не спілкується з виділеним командним сервером, а натомість використовує REST API публічного додатку для командної роботи Zulip як свою командно-контрольну інфраструктуру.

ZiChatBot аутентифікується у Zulip за допомогою вбудованого API-токена, надсилаючи його як HTTP-заголовок у кожному запиті до організації Zulip, зареєстрованої у просторі “helper”. Зловмисне ПЗ використовує дві окремі пари каналів-тем. Одна пара передає системну інформацію з інфікованих хостів, інша – отримує шелкод для виконання. Після успішного виконання команди бот відповідає emoji серця як підтвердження виконання операції. Організація “helper” у Zulip, яку використовували зловмисники, офіційно деактивована самим Zulip. Однак інфіковані пристрої можуть продовжувати намагатися підключитися до сервісу.