È stato scoperto un pacchetto malevolo sul Python Package Index (PyPI) che prende di mira gli sviluppatori di Discord: denominato ‘pycord-self’, si spaccia per il legittimo ‘discord.py-self’ e ha come obiettivo il furto di token di autenticazione Discord e l’installazione di una backdoor per il controllo remoto.
“Gli obiettivi principali di questo attacco sono gli sviluppatori Python e i creatori di bot Discord che cercano librerie API utente da integrare nei loro progetti”, si legge nel rapporto del Socket Research Team. “Questi individui potrebbero installare inavvertitamente il pacchetto dannoso a causa della sua strategia di typosquatting, che si basa sugli utenti che digitano o identificano erroneamente il nome legittimo del pacchetto (discord.py-self)”.
Vale la pena notare che il pacchetto ufficiale (rilasciato l’8 aprile 2023 con 27,88 milioni download) è una libreria Python per la comunicazione con l’API utente di Discord e il controllo account a livello di programmazione.

Fonte: Socket Research Team.
Invece, il falso pacchetto “pycord-self” che in realtà nasconde un codice dannoso (rilasciato il 20 giugno 2024 e che a oggi conta 890 download), sarebbe stato progettato per sembrare un’estensione utile per gli sviluppatori di bot su Discord.

Fonte: Socket Research Team.
Indice degli argomenti
Dettagli della minaccia
Una volta installato, il pacchetto ruba i token di autenticazione di Discord degli sviluppatori.
In pratica il codice invia il token Discord fornito come intestazione a un URL, consentendo all’attaccante di ottenere un accesso non autorizzato all’account Discord della vittima.

Fonte: Socket Research Team.
Un’altra attività malevola del pacchetto è l’installazione di una backdoor (creando una connessione persistente a un server remoto tramite la porta 6969) che permette agli attaccanti di ottenere il controllo remoto di sistemi Linux e Windows.

Fonte: Socket Research Team.
Questo significa che gli attaccanti possono eseguire comandi, rubare dati sensibili e installare ulteriori malware. “A seconda del sistema operativo, avvia una shell (“bash” su Linux o “cmd” su Windows) che garantisce all’aggressore un accesso continuo al sistema della vittima”, continua il rapporto del Socket Research Team, “la backdoor viene eseguita in un thread separato, rendendone difficile il rilevamento finché il pacchetto continua a sembrare funzionante”.
Raccomandazioni per gli sviluppatori
Gli sviluppatori di Discord e in generale tutti gli sviluppatori che utilizzano pacchetti da PyPI sono incoraggiati a prendere alcune misure precauzionali:
- Prima di installare qualsiasi pacchetto, assicurarsi di verificare l’autenticità e la reputazione dello sviluppatore del pacchetto.
- Utilizzare strumenti di scansione dei codici malevoli per analizzare i pacchetti prima dell’installazione.
- Assicurarsi di mantenere aggiornati tutti i pacchetti e il software di sicurezza.
La scoperta di questo pacchetto malevolo evidenzia l’importanza della sicurezza e della vigilanza nel campo dello sviluppo software.
Con l’aumento delle minacce informatiche, è fondamentale che gli sviluppatori rimangano informati e adottino misure preventive per proteggere i propri dati e sistemi.
Seguendo queste raccomandazioni, gli sviluppatori possono ridurre significativamente il rischio di cadere vittime di attacchi simili e garantire la sicurezza dei loro progetti e delle loro informazioni personali.