Uma campanha ativa desde novembro do ano passado vem mirando desenvolvedores Python que criam bots no Telegram com forks trojanizados do Pyrogram, permitindo que invasores leiam arquivos arbitrários em servidores comprometidos.
Ao menos oito pacotes já foram publicados no Python Package Index (PyPI) com uma backdoor oculta, ativada por módulos auxiliares quando o Pyrogram é importado ou quando o bot é iniciado.
Embora o projeto Pyrogram não receba mais manutenção, ele segue popular, com quase 350.000 downloads mensais no PyPI, com dados atualizados em abril de 2023, e mais de 1.400 forks no GitHub, com atualização mais recente em dezembro de 2024.
O Pyrogram se descreve como um “framework elegante, moderno e assíncrono de API do Telegram MTProto em Python para usuários e bots”.
Em termos mais simples, ele permite que desenvolvedores criem bots automatizados ou usersbots.
Segundo pesquisadores da empresa de segurança de aplicações Checkmarx, que batizaram a campanha de Operation Navy Ghost, o threat actor publicou no PyPI, entre novembro de 2025 e junho de 2026, os seguintes forks maliciosos do Pyrogram:
VLifeGram, com nove versões e 4.150 downloads
VLife-Gram, com cinco versões e 1.030 downloads
pyrogram-navy, com seis versões e 2.530 downloads
pyrogram-styled, com mais de 16 versões e 15.370 downloads
pyrogram-zeeb, com uma versão e 432 downloads
kelragram, com três versões e 1.041 downloads
sepgram, com uma versão e 264 downloads
pyrogram-kelra, com uma versão e 672 downloads
Todos os pacotes são forks do projeto legítimo Pyrogram, já que incluem o código-fonte original.
No entanto, o threat actor também adicionou uma backdoor chamada secret.py, escondida no módulo helpers.
O arquivo malicioso registra handlers ocultos de comandos do Telegram quando um bot infectado é iniciado, o que permite executar código Python fornecido pelo invasor ou comandos de shell.
“Quando o invasor envia /asu print(os.environ) para o bot da vítima, essa função compila e executa esse código Python na máquina da vítima, com acesso total ao cliente Telegram em execução, à sessão, aos chats, aos contatos e às variáveis de ambiente”, explica a Checkmarx.
“Quando o invasor envia /asi cat /etc/passwd, isso executa /bin/bash -c ‘cat /etc/passwd’ no servidor da vítima e retorna a saída”, afirmam os pesquisadores.
“Isso pode ser repetido com qualquer comando de shell e é executado sob a autoridade da aplicação infectada, o que significa que o malware pode acessar e exfiltrar tudo o que a aplicação comprometida poderia acessar legitimamente.”
A saída dos comandos é então devolvida por mensagens no Telegram e, se ultrapassar 4.096 bytes, é enviada aos invasores como anexo de documento.
A backdoor contém uma lista “OWNERS” embutida no código, com IDs do Telegram que garantem controle exclusivo aos threat actors.
Essa lista também ajuda a desativar a backdoor quando ela é executada no sistema do próprio invasor.
O malware mira especificamente contas de bots do Telegram e foi projetado para operar em silêncio, suprimindo erros e desativando o registro de log.
Os pesquisadores da Checkmarx observaram que a backdoor só é ativada em contas de bot do Telegram, que normalmente operam em ambientes de produção, uma função deliberada que indica que o invasor busca “acesso a bancos de dados, credenciais, APIs em cloud e infraestrutura sensível”.
Depois que o bot é ativado, o threat actor pode ler qualquer arquivo no servidor, extrair segredos, acessar os chats do Telegram da vítima, baixar o banco de dados e instalar uma backdoor persistente.
Apesar de os pacotes terem sido publicados a partir de diferentes contas do PyPI, a Checkmarx atribui a campanha a um único threat actor.
A conclusão se baseia na lista OWNERS compartilhada entre os diversos pacotes, no código idêntico da backdoor, nos nomes dos comandos e na infraestrutura sobreposta.
Desenvolvedores que possam ter instalado os pacotes listados devem removê-los imediatamente, rotacionar todas as credenciais no servidor afetado e revogar os tokens dos bots do Telegram.
A Checkmarx publicou indicadores de comprometimento para os IDs maliciosos do Telegram, além dos URLs de perfil do invasor.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...