Discord trasformato in uno strumento per rubare password tramite pacchetti Python compromessi

I ricercatori di sicurezza di Synk hanno scoperto l'esistenza di una dozzina di pacchetti PyPi dannosi che installano malware che va a modificare il client Discord in maniera che possa agire da backdoor per il furto di informazioni da browser Web e da Roblox.

I dodici pacccchetti sono stati caricati lo scorso 1 agosto su Python Package Index ad opera di un utente con il nickname di "scarycoder". Questi pacchetti fingono di essere strumenti Roblox, ma in realtà installano un malware dedito al furto di password sui dispositivi degli sviluppatori che, tratti in inganno dalle funzionalità promesse, li scaricano. I ricercatori hanno analizzato i pacchetti trovando che il codice nascosto nel file setup.py viene usato per installare i due eseguibili  ZYXMN.exe e ZYRBX.exe.

Il primo di essi viene usato per sottrarre informazioni dai browser web Google Chrome, Chromium, Microsoft Edge, Firefox e Opera e andando a prendere di mira in particolare le password memorizzate, la cronologia del browser, i cookie e la cronologia delle ricerche dopo aver decifrato la chiave principale del database locale del browser.

Le informazioni raccolte dal malware vengono trasferite quindi agli attori di minaccia tramte un webhook Discord. Ma non è finita qui: il malware si premura di modificare i file JavaScript usati dal client Discord così da poter iniettare una backdoor per sottrarre informazioni direttamente dall'account Discord.

Il secondo malware è invece interamente dedicato a Roblox, con l'obiettivo di sottrarre il cookie dell'account, l'ID utente, il saldo Robux e lo stato Premium dell'account della piattaforma di gioco. Anche in questo caso gli elementi vengono passati in un webhook Discord per metterli a disposizione degli aggressori.

Anche i ricercatori Kaspersky hanno individuato altri due pacchetti PyPi che contengono malware per il furto di informazioni e modificano il client Discord, in particolare con l'obiettivo di raccogliere credenziali di account di Steam, di Minecraft e di wallet di criptovalute. In aggiunta un altro script si occupa di monitorare gli input dell'utente che possono corrispondere ad indirizzi e-mail, password e informazioni di pagamento.

Al momento i pacchetti individuati dai ricercatori di Synk e Kaspersky sono stati rimossi, ma non senza una certa latenza dal momento della loro scoperta. Il Python Package Index, del resto, è gestito in maniera volontaria e con risorse limitate da un piccolo gruppo di sviluppatori tramite la Python Software Foundation, e spesso coloro i quali sono armati delle peggiori intenzioni lo prendono insistentemente di mira caricando senza sosta pacchetti dannosi, complicando le operazioni di bonifica.