Webhooks

Pesquisas da Socket revelaram um aumento no uso de webhooks do Discord como canais de comando e controle (C2) em pacotes maliciosos distribuídos por npm, PyPI e RubyGems. Essa técnica permite que atacantes exfiltratem dados sensíveis para servidores do Discord controlados por eles, sem a necessidade de infraestrutura dedicada, o que torna a detecção e prevenção mais difíceis. Os webhooks do Discord são endpoints HTTPS que aceitam cargas JSON para postar mensagens em canais específicos, permitindo que qualquer pessoa com a URL do webhook envie dados sem revelar o histórico do canal. Exemplos incluem pacotes como mysql-dumpdiscord, que coleta arquivos de configuração e os envia para um webhook, e malinssx, que envia mensagens codificadas durante a instalação. O uso de webhooks reduz os custos e aumenta a furtividade das operações dos atacantes, levando a Socket a recomendar controles rigorosos de saída e análise comportamental para proteger a cadeia de suprimentos de software.