Source : Socket (blog Socket.dev) — Rapport de recherche sur l’abus des webhooks Discord comme infrastructure de commande et contrôle (C2) pour l’exfiltration de données.

Le rapport met en évidence une tendance croissante où des acteurs malveillants exploitent les webhooks Discord comme C2 afin d’exfiltrer des données sensibles depuis des systèmes compromis. Ces campagnes s’appuient sur des paquets malveillants publiés sur npm, PyPI et RubyGems, qui envoient des informations collectées vers des salons Discord contrôlés par les attaquants, dès l’installation du paquet.

Sur le plan technique, Socket décrit trois schémas distincts d’implémentation :

  • npm : ciblage de fichiers de configuration turcs (ex. ayarlar.js, config.json) avec découpage en fragments d’environ 1 900 caractères.
  • PyPI (Python) : usage de hooks d’installation setuptools et urllib.request pour des POST JSON.
  • RubyGems : collecte de /etc/passwd, des serveurs DNS, et de l’IP publique via api.ipify.org.

Les webhooks Discord sont décrits comme des endpoints HTTPS en écriture seule retournant 204 No Content en cas de succès, ne nécessitant aucune authentification autre que la possession de l’URL. Le trafic malveillant se fond dans des communications légitimes via HTTPS, facilitant le contournement de règles de pare-feu standard.

L’exfiltration intervient via des hooks d’installation (avant toute surveillance à l’exécution), avec une gestion silencieuse des erreurs (try/catch) pour masquer les échecs réseau. Le rapport documente la collecte de fichiers de configuration, identifiants, variables d’environnement et informations système durant l’installation du paquet. 🔎

IOCs et TTPs observés:

  • IOCs:
    • Noms/fichiers ciblés: ayarlar.js, config.json, /etc/passwd
    • Requête tierce: api.ipify.org (récupération IP publique)
  • TTPs:
    • Abus de webhooks Discord comme C2 (HTTPS, 204 No Content, pas d’auth hors URL)
    • Exécution à l’installation (npm/PyPI/RubyGems) et POST JSON via urllib.request
    • Découpage des données en blocs ~1 900 caractères (npm)
    • Collecte: configurations, identifiants, variables d’environnement, infos système
    • Bypass des contrôles réseaux via trafic HTTPS légitime et gestion silencieuse des erreurs

Conclusion : Il s’agit d’une publication de recherche visant à documenter des techniques d’exfiltration et l’instrumentalisation des webhooks Discord dans des paquets malveillants multi-écosystèmes.

🔗 Source originale : https://socket.dev/blog/weaponizing-discord-for-command-and-control