Pacotes maliciosos no PyPI exploram APIs do Instagram e TikTok para validar contas de usuários

Pesquisadores de cibersegurança descobriram pacotes maliciosos na plataforma Python Package Index (PyPI) usados por hackers como ferramentas de verificação de contas, com o objetivo de validar e-mails roubados por meio das APIs do Instagram e TikTok. A ação tinha como propósito confirmar quais endereços de e-mail estão associados a contas ativas, facilitando futuros ataques, como roubo de credenciais, extorsão ou venda de listas de alvos na dark web.

Os pacotes identificados — checker-SaGaF (2.605 downloads), steinlurks (1.049 downloads) e sinnercore (3.300 downloads) — já foram removidos do repositório PyPI. Segundo Olivia Brown, pesquisadora da empresa Socket, o checker-SaGaF utilizava as APIs de recuperação de senha e login do TikTok e Instagram para verificar a existência de contas vinculadas aos e-mails fornecidos. Com essas informações, os hackers poderiam realizar campanhas de spam, denúncias falsas para suspensão de contas, ou ataques mais avançados como credential stuffing e password spraying.

O pacote steinlurks, por sua vez, simulava requisições POST da aplicação Android do Instagram para burlar mecanismos de detecção. Ele interagia com múltiplos endpoints da API da rede social para validar a existência de usuários. Já o sinnercore visava acionar o fluxo de redefinição de senha de contas do Instagram, com base no nome de usuário, e também possuía funções para extrair dados de contas do Telegram — como nome, ID, status premium e biografia — além de oferecer recursos voltados para criptomoedas, como cotações da Binance e conversões de moeda em tempo real.

Além disso, o sinnercore tinha funções suspeitas voltadas à coleta de informações sobre pacotes do PyPI, possivelmente com o objetivo de criar perfis falsos de desenvolvedores. A descoberta ocorre paralelamente a outra campanha maliciosa detalhada pela ReversingLabs, envolvendo o pacote dbgpkg, que se passava por uma ferramenta de depuração, mas implantava um backdoor para executar código remotamente e extrair dados do sistema da vítima. Esse pacote continha o mesmo payload do discordpydebug, previamente denunciado, sugerindo uma possível ligação com o grupo hacktivista Phoenix Hyena, conhecido por ataques contra entidades russas desde 2022.

A análise revelou o uso de técnicas sofisticadas, como wrapping de funções Python e o uso do GSocket Toolkit, indicando um esforço deliberado para manter presença de longo prazo sem ser detectado. A série de descobertas ainda coincidiu com a remoção de um pacote malicioso do npm, o koishi-plugin-pinhaofa, disfarçado como corretor ortográfico, que exfiltrava mensagens inteiras contendo possíveis segredos ou credenciais enviadas em chatbots desenvolvidos com o framework Koishi.

Via - THN