Um pacote malicioso chamado 'pycord-self' no índice de pacotes Python (PyPI) tem como alvo os desenvolvedores do Discord para roubar tokens de autenticação e implantar um backdoor para controle remoto do sistema.
O pacote se passa pelo muito popular 'discord.py-self', que tem quase 28 milhões de downloads, e até oferece a funcionalidade do projeto legítimo.
O pacote oficial é uma biblioteca Python que permite a comunicação com a API de usuário do Discord e permite que os desenvolvedores controlem contas programaticamente.
Ele é tipicamente usado para mensagens e automação de interações, criação de bots do Discord, script de moderação automatizada, notificações ou respostas e execução de comandos ou recuperação de dados do Discord sem uma conta de bot.
De acordo com a empresa de segurança de código Socket, o pacote malicioso foi adicionado ao PyPi no ano passado, em junho, e foi baixado 885 vezes até agora.
No momento da redação deste texto, o pacote ainda está disponível no PyPI de um publicador que teve seus detalhes verificados pela plataforma.
Pesquisadores da Socket analisaram o pacote malicioso e descobriram que o pycord-self contém código que realiza duas coisas principais.
Uma é roubar os tokens de autenticação do Discord da vítima e enviá-los para uma URL externa.
Os atacantes podem usar o token roubado para sequestrar a conta do Discord do desenvolvedor sem precisar das credenciais de acesso, mesmo se a proteção de autenticação de dois fatores estiver ativa.
A segunda função do pacote malicioso é configurar um mecanismo de backdoor furtivo, criando uma conexão persistente com um servidor remoto através da porta 6969.
"Dependendo do sistema operacional, ele lança um shell ('bash' no Linux ou 'cmd' no Windows) que concede ao atacante acesso contínuo ao sistema da vítima," explica a Socket no relatório.
O backdoor roda em uma thread separada, tornando-o difícil de detectar enquanto o pacote continua a parecer funcional.
Desenvolvedores de software são aconselhados a evitar instalar pacotes sem verificar que o código vem do autor oficial, especialmente se for um popular.
Verificar o nome do pacote também pode reduzir o risco de ser vítima de typosquatting.
Ao trabalhar com bibliotecas de código aberto, é aconselhável revisar o código em busca de funções suspeitas, se possível, e evitar qualquer coisa que pareça ofuscada.
Adicionalmente, ferramentas de varredura podem ajudar a detectar e bloquear pacotes maliciosos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...