Un pachet malefic numit ‘pycord-self’ pe indexul de pachete Python (PyPI) vizează dezvoltatorii Discord pentru a fura token-uri de autentificare și a planta o ușă din spate pentru controlul la distanță asupra sistemului.
Pachetul imită extrem de popularul ‘discord.py-self’, care are aproape 28 de milioane de descărcări, oferind chiar funcționalitatea proiectului legitim.
Pachetul oficial este o bibliotecă Python care permite comunicarea cu API-ul utilizatorilor Discord și permite dezvoltatorilor să controleze conturile programatic.
Este folosit în mod obișnuit pentru mesagerie și automatizarea interacțiunilor, crearea de roboți Discord, scriptarea moderării automate, notificări sau răspunsuri și rularea comenzilor sau obținerea de date din Discord fără un cont de bot.
Potrivit companiei de securitate a codului Socket, pachetul malefic a fost adăugat în PyPi în iunie anul trecut și a fost descărcat de 885 de ori până în prezent.
La momentul redactării acestui articol, pachetul este încă disponibil pe PyPI de la un editor al cărui detaliu a fost verificat de platformă.
Cercetătorii de la Socket au analizat pachetul malefic și au constatat că pycord-self conține cod care efectuează două lucruri principale. Unul este furtul de token-uri de autentificare Discord de la victimă și trimiterea acestora către un URL extern.
Atacatorii pot folosi token-ul furat pentru a prelua contul Discord al dezvoltatorului fără a avea nevoie de credențiale de acces, chiar dacă protecția prin autentificare în doi pași este activă.
A doua funcție a pachetului malefic este de a configura un mecanism de ușă din spate furtunoasă prin crearea unei conexiuni persistente către un server la distanță prin portul 6969.
„În funcție de sistemul de operare, acesta lansează un shell (‘bash’ pe Linux sau ‘cmd’ pe Windows) care acordă atacatorului acces continuu la sistemul victimei,” explică Socket în raport.
„Ușa din spate rulează într-un fir de execuție separat, făcându-l greu de detectat în timp ce pachetul continuă să apară funcțional.”
Dezvoltatorii de software sunt sfătuiți să evite instalarea pachetelor fără a verifica că codul provine de la autorul oficial, în special dacă este unul popular. Verificarea numelui pachetului poate reduce, de asemenea, riscul de a cădea victimă a typosquatting-ului.
Când lucrați cu biblioteci open-source, este recomandabil să revizuiți codul pentru funcții suspecte, dacă este posibil, și să evitați orice lucru care pare obfuscat. În plus, instrumentele de scanare pot ajuta la detectarea și blocarea pachetelor malefice.
Eșecuri ale MFA – Cel mai rău este încă de venit
Peste 4.000 de uși din spate preluate prin înregistrarea domeniilor expirate
Hackerii exploatează vulnerabilitatea firewall-ului KerioControl pentru a fura token-uri CSRF de admin
Peste 3,1 milioane de „stele” false pe proiecte GitHub folosite pentru a crește clasamentul
Microsoft emite avertizare urgentă pentru dezvoltatori să actualizeze linkul instalatorului .NET
Leave a Reply