Pacchetto PyPI contraffatto installa un RAT e prende di mira gli sviluppatori di bot Discord

Un pacchetto Python malevolo battezzato discordpydebug è rimasto attivo sul repository PyPI dal 21 marzo 2022,  con un totale di oltre 11.500 download sotto le mentite spoglie di un semplice strumento di logging per bot Discord. Privo di documentazione, aggiornamenti e indicazioni sul mantenitore, il modulo è stato scoperto dal team di ricerca di Socket, che ha riscontrato pericolose funzionalità nascoste di Trojan a accesso remoto (RAT).

Una volta installato, discordpydebug si connette a un server di comando e controllo all’indirizzo backstabprotection.jamesx123.repl.co mediante richieste HTTP POST in uscita, registrando la macchina compromessa con un identificativo univoco. A questo punto il RAT riceve, in maniera continuativa, istruzioni per leggere file locali, inclusi configurazioni, token e credenziali, scrivere o modificare documenti esistenti, eseguire comandi di shell arbitrari e scaricare payload aggiuntivi senza alcuna notifica all’utente.

La scelta di un meccanismo di polling in uscita ha consentito al malware di eludere firewall e sistemi di monitoraggio, soprattutto in ambienti di sviluppo meno con controlli meno stringenti. Sebbene il codice non includa funzioni di persistenza o di elevazione dei permessi, la sua efficacia risiede nella semplicità d'uso e nell'assenza di controlli preventivi su PyPI, che non prevede nessun tipo di audit approfondito dei pacchetti caricati.

Proprio per questo motivo è consigliabile verificare sempre l’autenticità dei maintainer di un pacchetto PyPI, prediligendo librerie certificate da un progetto ufficiale e analizzare il codice di terze parti prima dell’installazione. L'adozione di strumenti di scansione automatica e di meccanismi di controllo della supply chain open source diventa fondamentale per difendere progetti e infrastrutture da campagne di typosquatting e dalla compromissione tramite backdoor nascoste.