Sono stati scoperti ben dodici pacchetti PyPi, il repository software ufficiale di terze parti per Python, noto anche come Python Package Index, contenenti malware progettato per modificare Discord e trasformarlo in una backdoor per il furto di informazioni, dati e password dai browser e da Roblox.
Contrariamente ad altre situazioni simili, per i pacchetti malevoli non è stata utilizzata la tecnica del typo-squatting, per cui si trae in inganno l'utente sfruttando nomi di pacchetti legittimi con qualche piccola, quasi impercettibile modifica (ad es. sostituendo caratteri molto simili tra loro). Nel caso dei 12 pacchetti rilevati su PyPi, l'autore ha scelto infatti un altro approccio, ovvero presentarli come pacchetti legittimi di per se, promettendo funzioni extra per Roblox, tool di gestione dei thread e moduli di hacking di base.
I ricercatori di Snyk hanno analizzato uno dei pacchetti Python dannosi, noto come "cyphers" e hanno scoperto che il codice nascosto nel file "setup.py" consente di installare due malware da un server CDN di Discord, rispettivamente "ZYXMN.exe" e "ZYRBX.exe". Il primo consente di rubare informazioni dai browser Google Chrome, Chromium, Microsoft Edge, Firefox e Opera, incluse le password.
ZYRBX.exe, invece, è focalizzato su Roblox, con l'obiettivo di rubare il cookie relativo all'account, l'ID utente, il saldo Robux e altri dati, per esfiltrarli verso un webhook di Discord.
I pacchetti sono stati caricati su PyPi dall'utente noto come scarycoder il 1° agosto 2022, tuttavia i file linkati sul suo profilo non sono più disponibili, poiché rimossi dal Python Package Index. Purtroppo, però, almeno fino al 16 agosto i file erano ancora scaricabili, di conseguenza hanno avuto tutto il tempo di circolare e fare delle vittime.