Los investigadores de seguridad cibern\u00e9tica han descubierto un paquete malicioso en el repositorio del \u00edndice de paquetes de Python (PYPI) que se disfraza de una utilidad relacionada con la discordia aparentemente inofensiva, pero incorpora un troyano de acceso remoto.<\/p>\n
El paquete en cuesti\u00f3n es discordydebug<\/a>que se subi\u00f3 a Pypi el 21 de marzo de 2022. Se ha descargado 11,574 veces y sigue siendo disponible<\/a> en el registro de c\u00f3digo abierto. Curiosamente, el paquete no ha recibido ninguna actualizaci\u00f3n desde entonces.<\/p>\n “A primera vista, parec\u00eda ser una utilidad simple dirigida a desarrolladores que trabajan en bots de discordia usando la biblioteca Discord.py”, el equipo de investigaci\u00f3n de Socket dicho<\/a>. “Sin embargo, el paquete ocult\u00f3 un troyano de acceso remoto completamente funcional (rata)”.<\/p>\n El paquete, una vez instalado, contacta a un servidor externo (“Backstabprotection.jamesx123.Repl[.]CO “), e incluye caracter\u00edsticas para leer y escribir archivos arbitrarios basados \u200b\u200ben comandos, readfile o writefile, recibido del servidor. La rata tambi\u00e9n admite la capacidad de ejecutar comandos de shell.<\/p>\n En pocas palabras, DiscordPyDebug podr\u00eda usarse para leer datos confidenciales, como archivos de configuraci\u00f3n, tokens y credenciales, tambalear con archivos existentes, descargar cargas \u00fatiles adicionales y ejecutar comandos para exfiltrar datos.<\/p>\n “Si bien el c\u00f3digo no incluye mecanismos de persistencia o escalada de privilegios, su simplicidad lo hace particularmente efectivo”, dijo Socket. “El uso de encuestas HTTP salientes en lugar de conexiones entrantes le permite evitar la mayor\u00eda de los firewalls y herramientas de monitoreo de seguridad, especialmente en entornos de desarrollo menos estrechamente controlados”.<\/p>\n El desarrollo se produce cuando la compa\u00f1\u00eda de seguridad de la cadena de suministro de software tambi\u00e9n descubri\u00f3 m\u00e1s de 45 paquetes NPM que se hac\u00edan pasar por bibliotecas leg\u00edtimas disponibles en otros ecosistemas como una forma de enga\u00f1ar a los desarrolladores para que los instenen. Algunos de los notables se enumeran a continuaci\u00f3n –<\/p>\n Se ha encontrado que todos los paquetes identificados comparten la misma infraestructura, utilizan cargas \u00fatiles ofuscadas similares y apuntan a la misma direcci\u00f3n IP, a pesar de enumerar diferentes mantenedores, lo que indica el trabajo de un solo actor de amenaza.<\/p>\n “Los paquetes identificados como parte de esta campa\u00f1a contienen un c\u00f3digo ofuscado dise\u00f1ado para evitar medidas de seguridad, ejecutar scripts maliciosos, exfiltrar datos confidenciales y mantener la persistencia en los sistemas afectados”, Socket dicho<\/a>.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-investigadores-descubren-malware-en-el-paquete-Fake-Discord-Pypi.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/center><\/div>\n