Furto token su Discord e backdoor GSocket per il gioco d’azzardo in Indonesia

20

Le minacce informatiche stanno raggiungendo un nuovo livello di sofisticazione, come dimostrato da due campagne malevole emerse di recente. Da un lato, un pacchetto PyPI dannoso, pycord-self, prende di mira gli sviluppatori di Discord rubando token di autenticazione e installando una backdoor. Dall’altro, attacchi coordinati con PHP backdoor e GSocket alimentano il gioco d’azzardo illegale in Indonesia, eludendo le misure di controllo governative. Analizziamo nel dettaglio entrambe le minacce e le loro implicazioni sulla sicurezza informatica.

Furto token Discord con il pacchetto PyPI malevolo

L’attacco e il suo obiettivo

Il pacchetto pycord-self sfrutta la tecnica del typosquatting per imitare il legittimo discord.py-self, un wrapper Python per l’API di Discord ampiamente utilizzato. Questo inganna gli sviluppatori a installarlo, fornendo agli attaccanti accesso a token di autenticazione e controllo remoto sui loro dispositivi. Pubblicato su PyPI, pycord-self ha raccolto centinaia di download prima di essere individuato, esponendo molteplici utenti a gravi rischi di sicurezza.

Meccanismo di attacco

• Furto di token: il pacchetto intercetta i token inviati durante il login e li trasmette a un server remoto. Questo consente agli attaccanti di accedere agli account Discord delle vittime, utilizzandoli per frodi, phishing o ulteriori attacchi alla rete.
• Backdoor remota: il codice include una funzione che stabilisce una connessione persistente a un server remoto. Su sistemi Linux, l’attaccante può utilizzare Bash per eseguire comandi, mentre su Windows viene lanciato un terminale CMD per operazioni simili.

Impatto sull’ecosistema degli sviluppatori

Gli sviluppatori colpiti non solo rischiano di perdere il controllo sui loro account Discord, ma potrebbero anche esporre i progetti a codice malevolo. Questi attacchi sottolineano la necessità di verificare sempre la legittimità dei pacchetti prima dell’installazione.

PHP backdoor e GSocket per il gioco d’azzardo in Indonesia

Contesto legale e tecnologico

Il gioco d’azzardo è vietato in Indonesia dal 1974, ma la digitalizzazione ha creato un terreno fertile per le piattaforme di gioco online. Recentemente, una campagna malevola ha sfruttato vulnerabilità in server PHP per distribuire il toolkit GSocket, utilizzato per mantenere connessioni sicure e alimentare siti di gioco d’azzardo illegale.

Tecniche utilizzate

• Installazione di GSocket: gli attaccanti inviano comandi predefiniti ai server compromessi per installare il toolkit, che permette connessioni TCP sicure bypassando firewall e NAT. Questo strumento facilita la persistenza e consente di gestire il traffico verso siti di gioco d’azzardo.
• Sfruttamento di webshell: la campagna mira a server PHP compromessi, cercando webshell attive che permettano agli attaccanti di eseguire comandi remoti e installare ulteriori backdoor.
• Landing page per il reindirizzamento: i server compromessi ospitano pagine HTML progettate per reindirizzare gli utenti a siti di gioco d’azzardo, sfruttando tecniche di cloaking per evitare il rilevamento.

Obiettivi e persistenza

Molte delle pagine generate dai server compromessi includono contenuti progettati per attrarre giocatori, come offerte di vincite elevate e scommesse a basso costo. Per garantire la persistenza, gli attaccanti configurano script nei file crontab o bashrc, che reinstallano automaticamente GSocket in caso di rimozione.

Conseguenze e raccomandazioni

Questi attacchi evidenziano le gravi implicazioni della mancata sicurezza nei pacchetti di sviluppo e nei server web.

Per gli sviluppatori di Discord

1. Evitare di installare pacchetti PyPI senza verificarne l’autenticità e le recensioni.
2. Monitorare l’utilizzo delle proprie credenziali e token di autenticazione per identificare eventuali compromissioni.
3. Utilizzare strumenti di analisi delle dipendenze, come Socket, per rilevare codice malevolo nei pacchetti.

Per gli amministratori di server PHP

1. Controllare regolarmente la presenza di webshell e file non autorizzati sui server.
2. Implementare firewall e sistemi di rilevamento delle intrusioni per bloccare traffico sospetto.
3. Mantenere aggiornati i sistemi e monitorare l’uso di tool come GSocket nei processi attivi.

Gli attacchi malevoli descritti riflettono l’ingegnosità dei cybercriminali nel colpire ecosistemi vulnerabili, sia sfruttando piattaforme di sviluppo come PyPI, sia alimentando attività illegali tramite server compromessi. La prevenzione richiede un approccio proattivo: educazione, strumenti di sicurezza avanzati e aggiornamenti regolari.