Desde novembro de 2025, uma campanha de cibersegurança tem como alvo desenvolvedores de bots do Telegram que utilizam forks trojanizados do Pyrogram, permitindo que atacantes leiam arquivos arbitrários em servidores comprometidos. O Pyrogram, um framework popular para a criação de bots, não é mais mantido, mas ainda conta com cerca de 350.000 downloads mensais. Pesquisadores da Checkmarx identificaram pelo menos oito pacotes maliciosos publicados no Python Package Index (PyPI), que incluem um backdoor ativado por módulos auxiliares ao importar o Pyrogram ou ao iniciar o bot. O backdoor, chamado secret.py, registra manipuladores de comandos ocultos no Telegram, permitindo que os atacantes executem código Python ou comandos de shell no servidor da vítima. Isso possibilita o acesso a dados sensíveis, como chats do Telegram e variáveis de ambiente. A campanha, denominada ‘Operação Navy Ghost’, é atribuída a um único ator de ameaças, evidenciado pela lista de ‘OWNERS’ codificada nos pacotes. Os desenvolvedores que possam ter instalado esses pacotes devem removê-los imediatamente e rotacionar todas as credenciais do servidor afetado.
Fonte: https://www.bleepingcomputer.com/news/security/malicious-pypi-packages-give-hackers-control-of-telegram-bot-servers/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
30/06/2026 • Risco: CRITICO
MALWARE
Campanha maliciosa ataca desenvolvedores de bots do Telegram com trojans
RESUMO EXECUTIVO
A campanha 'Operação Navy Ghost' representa uma séria ameaça para desenvolvedores de bots do Telegram, com pacotes maliciosos que permitem acesso total a dados sensíveis. A necessidade de ações imediatas para mitigar riscos é evidente, especialmente considerando a popularidade do Pyrogram e a possibilidade de vazamento de informações pessoais.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao vazamento de dados e comprometimento de sistemas.
Operacional
Acesso não autorizado a dados sensíveis e controle total sobre bots comprometidos.
Setores vulneráveis
['Tecnologia', 'Comunicações', 'Serviços financeiros']
📊 INDICADORES CHAVE
350.000 downloads mensais do Pyrogram
Indicador
4.150 downloads do pacote VLifeGram
Contexto BR
15.370 downloads do pacote pyrogram-styled
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se pacotes maliciosos foram instalados e remover imediatamente.
2
Rotacionar todas as credenciais e revogar tokens de bots do Telegram.
3
Monitorar atividades suspeitas em servidores e contas do Telegram.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de bots do Telegram, que podem ser alvos fáceis para acesso a dados sensíveis.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).