披著羊皮的狼：PyPI 現(xiàn)惡意包，竊取 Discord token 并植入后門

IT之家 1 月 18 日消息，科技媒體 bleepingcomputer 昨日（1 月 17 日）發(fā)布博文，報道稱名為“pycord-self”的惡意包出現(xiàn)在 Python 包索引（PyPI）上，目標(biāo)是竊取 Discord 開發(fā)者的身份驗證令牌，并在系統(tǒng)中植入后門以實現(xiàn)遠(yuǎn)程控制。

“pycord-self”惡意包偽裝成流行的 Discord 開發(fā)庫“discord.py-self”，后者是一個 Python 庫，支持與 Discord 的用戶 API 進(jìn)行通信，并允許開發(fā)者以編程方式控制賬戶。

“discord.py-self”通常用于消息傳遞和自動化交互、創(chuàng)建 Discord 機(jī)器人、編寫自動審核腳本、通知或響應(yīng)，以及在沒有機(jī)器人賬戶的情況下從 Discord 運(yùn)行命令或檢索數(shù)據(jù)。

惡意包包含竊取受害者 Discord 認(rèn)證令牌的代碼，并將其發(fā)送到外部 URL。攻擊者無需訪問憑據(jù)，可以使用被盜的 Tokens 中劫持開發(fā)者的 Discord 賬戶，即使啟用了雙因素身份驗證保護(hù)也是如此。

惡意包的第二個功能是通過端口 6969 與遠(yuǎn)程服務(wù)器創(chuàng)建持久連接，從而建立隱蔽的后門機(jī)制。根據(jù)操作系統(tǒng)的不同，它會啟動一個 shell（Linux 上的“bash”或 Windows 上的“cmd”），讓攻擊者能夠持續(xù)訪問受害者的系統(tǒng)。

該后門程序在一個單獨(dú)的線程中運(yùn)行，因此難以檢測，而該軟件包的功能似乎仍在正常運(yùn)行。

據(jù)代碼安全公司 Socket 稱，該惡意包于去年 6 月添加到 PyPI，迄今已被下載 885 次。截至IT之家撰寫本文時，該軟件包仍然可以在 PyPI 上，從一個經(jīng)過平臺驗證其詳細(xì)信息的發(fā)布者處獲得。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。