Pesquisadores identificaram pacotes maliciosos no repositório Python Package Index (PyPI) que estavam sendo usados para validar e-mails roubados por meio das APIs do Instagram e TikTok. Esses pacotes, agora removidos, agiam como ferramentas de verificação, permitindo a criminosos confirmar se determinado e-mail está vinculado a uma conta real nessas plataformas.

Os pacotes checker-SaGaF (2.605 downloads), steinlurks (1.049) e sinnercore (3.300) enviavam requisições HTTP disfarçadas para endpoints legítimos, como APIs de login e recuperação de senha. A partir disso, os invasores determinavam se o e-mail fornecido estava associado a uma conta ativa, facilitando ataques futuros como doxxing, spam, falsos relatos para suspensão de contas e ataques de credential stuffing. Além disso, listas de e-mails validados são frequentemente comercializadas na dark web.

Embora pareça inofensivo apenas verificar se um e-mail está em uso, isso representa a base para cadeias completas de ataques. O pacote sinnercore, por exemplo, também realizava requisições falsas para iniciar o fluxo de redefinição de senha no Instagram. Ele ainda continha funções para coletar dados do Telegram e realizar ações no universo cripto, como consultar preços na Binance. Outra funcionalidade incluía busca por pacotes no PyPI, possivelmente para imitar perfis de desenvolvedores. Essas descobertas ocorrem em paralelo à exposição de outros pacotes maliciosos, como dbgpkg, discordpydebug e requestsdev, que escondiam backdoors sofisticados. Há indícios de conexão com o grupo hacktivista Phoenix Hyena, conhecido por campanhas pós-invasão da Ucrânia.