今天小编分享的科技经验:披着羊皮的狼:PyPI 现恶意包,窃取 Discord token 并植入后门,欢迎阅读。
IT 之家 1 月 18 日消息,科技媒体 bleepingcomputer 昨日(1 月 17 日)发布博文,报道称名为 "pycord-self" 的恶意包出现在 Python 包索引(PyPI)上,目标是窃取 Discord 开发者的身份验证令牌,并在系统中植入后门以实现远程控制。
"pycord-self" 恶意包伪装成流行的 Discord 开发库 "discord.py-self",后者是一个 Python 库,支持与 Discord 的用户 API 进行通信,并允许开发者以编程方式控制账户。
"discord.py-self" 通常用于消息传递和自动化互動、创建 Discord 机器人、编写自动审核脚本、通知或响应,以及在没有机器人账户的情况下从 Discord 运行命令或检索数据。
恶意包包含窃取受害者 Discord 认证令牌的代码,并将其发送到外部 URL。攻击者无需访问凭据,可以使用被盗的 Tokens 中劫持开发者的 Discord 账户,即使启用了双因素身份验证保护也是如此。
恶意包的第二个功能是通过端口 6969 与远程伺服器创建持久连接,从而建立隐蔽的后门机制。根据作業系統的不同,它会启动一个 shell(Linux 上的 "bash" 或 Windows 上的 "cmd"),让攻击者能够持续访问受害者的系统。
该后门程式在一个单独的线程中运行,因此难以检测,而该軟體包的功能似乎仍在正常运行。
据代码安全公司 Socket 称,该恶意包于去年 6 月添加到 PyPI,迄今已被下载 885 次。截至 IT 之家撰写本文时,该軟體包仍然可以在 PyPI 上,从一个经过平台验证其详细信息的发布者处获得。
