IT之家1月18日消息,科技媒体bleepingcomputer昨日(1月17日)发布博文,报道称名为“pycord-self”的恶意包出现在Python包索引(PyPI)上,目标是窃取Discord开发者的身份验证令牌,并在系统中植入后门以实现远程控制。
“pycord-self”恶意包伪装成流行的Discord开发库“discord.py-self”,后者是一个Python库,支持与Discord的用户API进行通信,并允许开发者以编程方式控制账户。
“discord.py-self”通常用于消息传递和自动化交互、创建Discord机器人、编写自动审核脚本、通知或响应,以及在没有机器人账户的情况下从Discord运行命令或检索数据。
恶意包包含窃取受害者Discord认证令牌的代码,并将其发送到外部URL。攻击者无需访问凭据,可以使用被盗的Tokens中劫持开发者的Discord账户,即使启用了双因素身份验证保护也是如此。
恶意包的第二个功能是通过端口6969与远程服务器创建持久连接,从而建立隐蔽的后门机制。根据操作系统的不同,它会启动一个shell(Linux上的“bash”或Windows上的“cmd”),让攻击者能够持续访问受害者的系统。
该后门程序在一个单独的线程中运行,因此难以检测,而该软件包的功能似乎仍在正常运行。
