Um pacote malicioso no repositório PyPI, chamado ‘pycord-self’, está sendo usado para roubar tokens de autenticação do Discord e instalar backdoors em sistemas de desenvolvedores. Ele imita o popular ‘discord.py-self’, usado para criar bots e automatizar interações no Discord. Apesar de oferecer funcionalidades semelhantes ao projeto legítimo, o pacote malicioso contém código que roubam tokens e permitem acesso remoto ao sistema.
Leia também
SAP corrige vulnerabilidades críticas no NetWeaver
Nvidia, Zoom e Zyxel corrigem falhas críticas
O código malicioso extrai tokens do Discord e os envia para uma URL externa, permitindo que invasores assumam contas sem necessidade de login, mesmo com autenticação de dois fatores ativada. Além disso, o pacote instala um backdoor, criando uma conexão persistente com um servidor remoto por meio da porta 6969, concedendo aos atacantes controle remoto do sistema.
Publicado em junho de 2023, o pacote foi baixado 885 vezes antes de ser identificado como malicioso. Desenvolvedores devem tomar precauções como verificar a fonte dos pacotes, revisar código em busca de atividades suspeitas e usar ferramentas de segurança para identificar ameaças. Esse incidente destaca a necessidade de boas práticas ao usar bibliotecas de código aberto para evitar ataques de typosquatting e outras ameaças similares.