Especialistas em segurança digital identificaram pacotes maliciosos publicados no repositório oficial Python Package Index (PyPI), projetados para validar e-mails comprometidos através das interfaces de programação (APIs) do TikTok e do Instagram. Esses pacotes simulam ferramentas legítimas de verificação de contas, mas na verdade alimentam esquemas cibercriminosos.
Pacotes maliciosos do PyPI usam redes sociais para verificar contas roubadas
Os nomes dos três pacotes identificados foram:
- checker-SaGaF (2.605 downloads)
- steinlurks (1.049 downloads)
- sinnercore (3.300 downloads)
Embora já tenham sido removidos do repositório, os danos potenciais que causaram acenderam alertas na comunidade de cibersegurança.
A pesquisadora Olivia Brown, da empresa Socket, explicou que o checker-SaGaF é um dos principais exemplos dessa ameaça. O código enviado realiza requisições às APIs de recuperação de senha do TikTok e às interfaces de login do Instagram. O objetivo: identificar se um determinado e-mail está vinculado a uma conta real nessas plataformas.
Ao cruzar essas informações, cibercriminosos podem confirmar alvos para ataques de preenchimento de credenciais, envio massivo de spam, ou até campanhas de doxing. Dados confirmados também têm alto valor comercial na dark web, onde listas de e-mails válidos são negociadas com fins ilícitos.
Validação de e-mails e roubo de dados via APIs do TikTok e Instagram
O segundo pacote, steinlurks, segue a mesma lógica, mas foca exclusivamente no Instagram. Ele imita o comportamento do app da rede social para Android ao enviar requisições para múltiplos endpoints da API, entre eles:
- i.instagram[.]com/api/v1/users/lookup/
- i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
- www.instagram[.]com/api/v1/web/accounts/check_email/
Esse tipo de falsificação serve para burlar mecanismos de detecção e monitoramento de atividades suspeitas.
Já o sinnercore vai além, ativando o fluxo de recuperação de senha por nome de usuário no endpoint biinstagram[.]com/api/v1/accounts/send_password_reset/. O pacote também extrai dados do Telegram, como nomes, IDs, biografias e status premium, além de oferecer funcionalidades voltadas para criptomoedas, como consultas em tempo real na Binance e conversões monetárias.
Além disso, o sinnercore foi projetado para investigar pacotes PyPI, possivelmente com o objetivo de clonar perfis de desenvolvedores ou criar bibliotecas falsas disfarçadas de legítimas.
Backdoors sofisticados e ameaças persistentes
A descoberta desses pacotes acontece paralelamente à análise feita pela ReversingLabs de outro artefato malicioso, o dbgpkg. Embora mascarado como uma ferramenta de depuração, ele esconde um backdoor que permite execução remota de código e exfiltração de dados no sistema do desenvolvedor.
Esse pacote compartilha código malicioso com outro chamado discordpydebug, denunciado anteriormente, e parece fazer parte de uma mesma campanha que inclui o pacote requestsdev. O padrão aponta para o uso de ferramentas como o GSocket, associadas ao grupo Phoenix Hyena — conhecido por atacar alvos russos desde o início do conflito entre Rússia e Ucrânia.
Mesmo que a autoria ainda esteja sob investigação, o uso repetido de payloads idênticos e a sofisticação dos implantes sugerem que o responsável tem amplo conhecimento técnico e foca em ataques de longo prazo e baixa detecção.
A ameaça não se restringe ao ecossistema Python. Outro pacote malicioso, identificado como koishi-plugin-pinhaofa, foi encontrado no repositório npm. Ele se apresentava como uma ferramenta de correção ortográfica para bots Koishi, mas sua real função era interceptar mensagens contendo cadeias hexadecimais de oito caracteres — típicas de tokens, IDs, commits Git ou credenciais — e enviá-las para uma conta QQ, comprometendo dados sensíveis.
Conclusão
A proliferação de pacotes maliciosos em repositórios públicos de código mostra que bibliotecas de aparência inofensiva podem esconder ameaças sofisticadas. Validar e-mails via redes sociais ou coletar informações de desenvolvedores são apenas partes de um ecossistema cibercriminoso cada vez mais estratégico e silencioso.
Para desenvolvedores, o alerta é claro: a verificação rigorosa de bibliotecas externas é essencial. E para usuários, a exposição de dados pode começar por onde menos se espera — uma simples tentativa de login em uma conta de rede social.
