Pesquisadores de cibersegurança identificaram um pacote malicioso no repositório Python Package Index (PyPI), disfarçado como uma ferramenta legítima relacionada ao Discord, mas que na verdade esconde um trojan de acesso remoto (RAT). O pacote, chamado discordpydebug, foi publicado em 21 de março de 2022 e já foi baixado mais de 11.500 vezes, permanecendo disponível até hoje sem atualizações.

Segundo a equipe da Socket Research, o pacote parecia inicialmente ser um utilitário para desenvolvedores que utilizam a biblioteca Discord.py. No entanto, ele incorporava um RAT completo capaz de se conectar a um servidor externo (“backstabprotection.jamesx123.repl[.]co”) e executar comandos para leitura e escrita de arquivos arbitrários, além de rodar comandos no terminal. Com isso, o invasor pode acessar dados sensíveis, como credenciais, alterar arquivos, baixar cargas adicionais e extrair informações do sistema.

Apesar de não possuir mecanismos para se manter no sistema ou elevar privilégios, sua simplicidade facilita a evasão de ferramentas de segurança, principalmente em ambientes de desenvolvimento com menor controle. O tráfego de saída via HTTP usado pelo malware torna a detecção ainda mais difícil. Paralelamente, a empresa de segurança na cadeia de suprimentos de software também identificou mais de 45 pacotes maliciosos no repositório npm. Esses pacotes imitam bibliotecas legítimas de outros ecossistemas — como beautifulsoup4, apache-httpclient, opentk e seaborn — para enganar desenvolvedores. Todos compartilham a mesma infraestrutura, código ofuscado e IP, sugerindo uma campanha coordenada por um único agente malicioso.