Um pacote Python maldoso visando desenvolvedores do Discord com malware tipo remote access trojan (RAT) foi identificado no Python Package Index (PyPI) depois de mais de três anos.
Nomeado "discordpydebug", o pacote estava se disfarçando como uma utilidade de registro de erros para desenvolvedores trabalhando em bots do Discord e foi baixado mais de 11.000 vezes desde que foi carregado em 21 de março de 2022, mesmo que não tenha descrição ou documentação.
A empresa de cibersegurança Socket, que o identificou primeiro, diz que o malware poderia ser usado para criar um backdoor nos sistemas dos desenvolvedores do Discord e fornecer aos atacantes capacidades de roubo de dados e execução remota de código.
"O pacote visava desenvolvedores que construem ou mantêm bots do Discord, tipicamente desenvolvedores independentes, engenheiros de automação ou pequenas equipes que poderiam instalar tais ferramentas sem escrutínio extensivo," disseram os pesquisadores da Socket.
Como o PyPI não impõe auditorias de segurança profundas nos pacotes carregados, os atacantes frequentemente aproveitam isso usando descrições enganosas, nomes que soam legítimos, ou até mesmo copiando código de projetos populares para parecerem confiáveis.
Uma vez instalado, o pacote malicioso transforma o dispositivo em um sistema controlado remotamente que executará instruções enviadas de um servidor de comando e controle (C2) controlado pelo atacante.
Os atacantes poderiam usar o malware para ganhar acesso não autorizado a credenciais e mais (por exemplo, tokens, chaves e arquivos de configuração), roubar dados e monitorar a atividade do sistema sem ser detectado, executar código remotamente para implantar outros payloads de malware e obter informações que podem ajudá-los a se mover lateralmente dentro da rede.
Enquanto o malware não possui mecanismos de persistência ou escalonamento de privilégios, ele usa sondagem HTTP de saída em vez de conexões de entrada, tornando possível contornar firewalls e softwares de segurança, especialmente em ambientes de desenvolvimento controlados de forma frouxa.
Uma vez instalado, o pacote se conecta silenciosamente a um servidor de comando e controle (C2) controlado pelo atacante (backstabprotection.jamesx123.repl[.]co), enviando uma solicitação POST com um valor "nome" para adicionar o host infectado à infraestrutura dos atacantes.
O malware também inclui funções para ler e escrever em arquivos na máquina hospedeira usando operações JSON quando acionadas por palavras-chave específicas do servidor C2, dando aos atores da ameaça visibilidade em dados sensíveis.
Para mitigar o risco de instalar malware com backdoor de repositórios de código online, desenvolvedores de software devem garantir que os pacotes que eles baixam e instalam venham do autor oficial antes da instalação, especialmente os populares, para evitar typosquatting.
Adicionalmente, ao usar bibliotecas de código aberto, eles deveriam revisar o código quanto a funções suspeitas ou ofuscadas e considerar o uso de ferramentas de segurança para detectar e bloquear pacotes maliciosos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...