Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Discord: pacchetto PyPI dannoso ruba i token di autenticazione

Il pacchetto dannoso che ruba i token di autenticazione di Discord, dallo scorso giugno ad oggi, è stato già scaricato più di 885 volte.
Discord: pacchetto PyPI dannoso ruba i token di autenticazione
Il pacchetto dannoso che ruba i token di autenticazione di Discord, dallo scorso giugno ad oggi, è stato già scaricato più di 885 volte.
Link copiato negli appunti

Un pacchetto dannoso denominato "pycord-self" nell'indice dei pacchetti Python (PyPI) prende di mira gli sviluppatori di Discord. L’obiettivo degli hacker è quello di rubare token di autenticazione e piantare una backdoor per il controllo remoto del sistema. Il pacchetto imita il popolarissimo "discord.py-self", che ha quasi 28 milioni di download e offre persino la funzionalità del progetto legittimo. Il pacchetto ufficiale è una libreria Python che consente la comunicazione con l'API utente di Discord. Inoltre, ciò permette agli sviluppatori di controllare gli account a livello di programmazione. Tale pacchetto solitamente utilizzato per la messaggistica e l'automazione delle interazioni, la creazione di bot Discord, di script di moderazione automatica, notifiche o risposte ed esecuzione di comandi o recupero di dati da Discord senza un account bot.

Secondo la società di sicurezza Socket, il pacchetto dannoso è stato aggiunto a PyPi lo scorso giugno ed è stato scaricato 885 volte finora. Al momento, il pacchetto sembra essere ancora disponibile su PyPI da un editore i cui dettagli sono stati verificati dalla piattaforma.

Discord: furto di token e accesso persistente

I ricercatori di Socket hanno analizzato il pacchetto dannoso e hanno scoperto che pycord-self contiene codice che esegue due attività principali. Una è rubare i token di autenticazione Discord dalla vittima e inviarli a un URL esterno. Gli aggressori possono usare il token rubato per dirottare l'account Discord dello sviluppatore senza aver bisogno delle credenziali di accesso. Ciò avviene anche se è attiva la protezione dell'autenticazione a due fattori. La seconda funzione del pacchetto dannoso è quella di impostare un meccanismo di backdoor stealth creando una connessione persistente a un server remoto tramite la porta 6969. Come spiega Socket nel report: "a seconda del sistema operativo, avvia una shell ("bash" su Linux o "cmd" su Windows) che garantisce all'aggressore un accesso continuo al sistema della vittima. La backdoor viene eseguita in un thread separato, rendendo difficile il rilevamento mentre il pacchetto continua a sembrare funzionante".

Agli sviluppatori di software si consiglia di evitare di installare pacchetti senza verificare che il codice provenga dall'autore ufficiale, soprattutto se popolare. Inoltre, verificare il nome del pacchetto può anche ridurre il rischio di cadere vittima di typosquatting. Quando si lavora con librerie open source, è consigliabile rivedere il codice per funzioni sospette, se possibile. Naturalmente, bisogna anche evitare qualsiasi cosa che sembri offuscata. Infine, gli strumenti di scansione possono aiutare a rilevare e bloccare pacchetti dannosi.

Ti consigliamo anche