Pacote Python malicioso rouba tokens de autenticação do Discord

Um pacote malicioso chamado “pycord-self” foi identificado tentando imitar o comportamento de um projeto legítimo amplamente utilizado, o “discord.py-self”, uma biblioteca Python com quase 28 milhões de downloads. Enquanto o pacote original é utilizado para interações programáticas com a API de usuários do Discord, como desenvolvimento de bots e automação de tarefas, o “pycord-self” rouba tokens de autenticação do Discord do sistema infectado e os envia para um servidor remoto.

Esses tokens permitem que atacantes assumam o controle das contas do Discord das vítimas sem a necessidade de credenciais ou autenticação em dois fatores. Além disso, o pacote estabelece uma conexão persistente com um servidor remoto por meio da porta 6969, executando um shell oculto (bash no Linux ou cmd no Windows) para fornecer acesso contínuo ao sistema.

A backdoor opera em uma thread separada, dificultando sua detecção enquanto o pacote continua funcionando aparentemente de forma legítima. Segundo uma empresa de segurança, o “pycord-self” foi adicionado ao repositório oficial PyPI em junho de 2024 e já acumula 885 downloads. Durante a análise, o pacote ainda estava disponível no repositório, e seu publicador havia passado pelo processo de verificação do PyPI, levantando preocupações sobre a eficácia das medidas de segurança adotadas na plataforma.

Esse caso exemplifica um ataque de typosquatting, onde atacantes criam pacotes com nomes muito semelhantes aos de projetos legítimos para enganar usuários desatentos.