Nel panorama attuale della sicurezza informatica, la supply chain del software rappresenta uno dei vettori di attacco più sfruttati dai cybercriminali. Recentemente, i ricercatori hanno scoperto un pacchetto malevolo pubblicato su Python Package Index (PyPI), chiamato discordpydebug, che si presenta come uno strumento innocuo per sviluppatori Discord ma nasconde un potente trojan di accesso remoto (RAT).

Il pacchetto discordpydebug, caricato su PyPI a marzo 2022 e scaricato oltre 11500 volte, non ha mai ricevuto aggiornamenti. Apparentemente rivolto a chi sviluppa bot Discord tramite la libreria Discord.py, in realtà include codice dannoso che, una volta installato, stabilisce una comunicazione con un server remoto esterno. Questa comunicazione permette di ricevere comandi per leggere e scrivere file arbitrari e per eseguire comandi sulla shell della vittima, consentendo così di accedere a dati sensibili come file di configurazione, token e credenziali, modificare file esistenti, scaricare payload aggiuntivi e esfiltrare informazioni.

Caratteristiche tecniche e metodi di attacco

Una caratteristica tecnica che rende questa minaccia particolarmente subdola è l’utilizzo di polling HTTP in uscita verso il server di comando e controllo, invece delle classiche connessioni in ingresso. Questo metodo aiuta il malware a bypassare la maggior parte dei firewall e degli strumenti di monitoraggio della sicurezza, soprattutto in ambienti di sviluppo meno controllati. Nonostante la sua semplicità, la minaccia risulta quindi molto efficace e difficile da individuare.

Parallelamente, la stessa azienda di sicurezza ha individuato una campagna malevola molto più ampia su altri ecosistemi come npm, con oltre 45 pacchetti nocivi che imitano nomi di librerie popolari (typosquatting), tra cui beautifulsoup4, apache-httpclient, opentk e seaborn. Questi pacchetti condividono infrastruttura, payload offuscati e indirizzi IP, anche se risultano pubblicati da diversi presunti maintainer, segnale di una regia unica dietro la campagna.

Il codice offuscato di questi pacchetti npm è progettato per aggirare le difese di sicurezza, eseguire script dannosi, esfiltrare dati sensibili e mantenere la persistenza nel sistema infetto. Questi attacchi evidenziano quanto sia fondamentale per sviluppatori e aziende mantenere alta l’attenzione sulla sicurezza della supply chain open source, controllando sempre l’origine e l’integrità dei pacchetti utilizzati nei propri progetti, soprattutto quando si tratta di ecosistemi popolari come PyPI e npm.