Un package malveillant nommé « pycord-self » dans l’index des packages Python (PyPI) cible les développeurs Discord pour voler des jetons d’authentification et installer une porte dérobée pour le contrôle à distance du système.
Le package imite le très populaire « discord. py-self », qui compte près de 28 millions de téléchargements, et offre même les fonctionnalités du projet légitime.
Le package officiel est une bibliothèque Python qui permet la communication avec l’API utilisateur de Discord et permet aux développeurs de contrôler les comptes par programmation.
Il est généralement utilisé pour la messagerie et l’automatisation des interactions, la création de robots Discord, la création de scripts de modération automatisée, de notifications ou de réponses, et l’exécution de commandes ou la récupération de données à partir de Discord sans compte de robot.
Selon la société de sécurité de code Socket, le package malveillant a été ajouté à PyPI l’année dernière en juin et a été téléchargé 885 fois jusqu’à présent.
Au moment de la rédaction de cet article, le package est toujours disponible sur PyPI auprès d’un éditeur dont les détails ont été vérifiés par la plateforme.
Vol de jetons et accès persistant
Les chercheurs de Socket ont analysé le package malveillant et ont découvert que pycord-self contient du code qui effectue deux choses principales. L’une consiste à voler des jetons d’authentification Discord à la victime et à les envoyer à une URL externe.
Les attaquants peuvent utiliser le jeton volé pour détourner le compte Discord du développeur sans avoir besoin des informations d’identification d’accès, même si la protection par authentification à deux facteurs est active.
La deuxième fonction du package malveillant est de configurer un mécanisme de porte dérobée furtive en créant une connexion persistante à un serveur distant via le port 6969.
« Selon le système d’exploitation, il lance un shell (« bash » sous Linux ou « cmd » sous Windows) qui accorde à l’attaquant un accès continu au système de la victime », explique Socket dans le rapport.
« La porte dérobée s’exécute dans un thread séparé, ce qui la rend difficile à détecter tant que le package continue d’apparaître fonctionnel. »
Il est conseillé aux développeurs de logiciels d’éviter d’installer des packages sans vérifier que le code provient de l’auteur officiel, surtout s’il est populaire. Vérifier le nom du paquet peut également réduire le risque d’être victime de typosquattage.
Lorsque vous travaillez avec des bibliothèques open source, il est conseillé de vérifier si le code contient des fonctions suspectes, si possible, et d’éviter tout ce qui semble obscurci. De plus, des outils d’analyse peuvent aider à détecter et à bloquer les paquets malveillants.