El paquete malicioso PyPi roba tokens de autenticación de Discord

Iniciado por AXCESS, Enero 20, 2025, 10:29:19 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un paquete malicioso llamado 'pycord-self' en el índice de paquetes de Python (PyPI) tiene como objetivo a los desarrolladores de Discord robar tokens de autenticación e instalar una puerta trasera para el control remoto del sistema.

El paquete imita al muy popular 'discord.py-self', que tiene casi 28 millones de descargas, e incluso ofrece la funcionalidad del proyecto legítimo.

El paquete oficial es una biblioteca de Python que permite la comunicación con la API de usuario de Discord y permite a los desarrolladores controlar las cuentas mediante programación.

Se utiliza normalmente para enviar mensajes y automatizar interacciones, crear bots de Discord, programar moderación automatizada, notificaciones o respuestas, y ejecutar comandos o recuperar datos de Discord sin una cuenta de bot.

Según la empresa de seguridad de código Socket, el paquete malicioso se agregó a PyPi el año pasado en junio y hasta ahora se ha descargado 885 veces.

Al momento de escribir este artículo, el paquete todavía está disponible en PyPI de un editor cuyos detalles fueron verificados por la plataforma.

El paquete malicioso en PyPI
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Robo de tokens y acceso persistente

Los investigadores de Socket analizaron el paquete malicioso y descubrieron que pycord-self contiene código que realiza dos cosas principales. Una es robar tokens de autenticación de Discord de la víctima y enviarlos a una URL externa.

Código para obtener el token de Discord
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los atacantes pueden usar el token robado para secuestrar la cuenta de Discord del desarrollador sin necesidad de las credenciales de acceso, incluso si la protección de autenticación de dos factores está activa.

La segunda función del paquete malicioso es configurar un mecanismo de puerta trasera sigilosa mediante la creación de una conexión persistente a un servidor remoto a través del puerto 6969.

"Dependiendo del sistema operativo, lanza un shell ("bash" en Linux o "cmd" en Windows) que otorga al atacante acceso continuo al sistema de la víctima", explica Socket en el informe.

"La puerta trasera se ejecuta en un hilo separado, lo que dificulta su detección mientras el paquete sigue pareciendo funcional".

Configurar una puerta trasera en la máquina
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se recomienda a los desarrolladores de software que eviten instalar paquetes sin comprobar que el código proviene del autor oficial, especialmente si es un autor conocido. Verificar el nombre del paquete también puede reducir el riesgo de ser víctima de typosquatting.

Al trabajar con bibliotecas de código abierto, es recomendable revisar el código en busca de funciones sospechosas, si es posible, y evitar cualquier cosa que parezca ofuscada. Además, las herramientas de escaneo pueden ayudar a detectar y bloquear paquetes maliciosos.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta