今天小編分享的科技經驗:披着羊皮的狼:PyPI 現惡意包,竊取 Discord token 并植入後門,歡迎閲讀。
IT 之家 1 月 18 日消息,科技媒體 bleepingcomputer 昨日(1 月 17 日)發布博文,報道稱名為 "pycord-self" 的惡意包出現在 Python 包索引(PyPI)上,目标是竊取 Discord 開發者的身份驗證令牌,并在系統中植入後門以實現遠程控制。
"pycord-self" 惡意包偽裝成流行的 Discord 開發庫 "discord.py-self",後者是一個 Python 庫,支持與 Discord 的用户 API 進行通信,并允許開發者以編程方式控制賬户。
"discord.py-self" 通常用于消息傳遞和自動化互動、創建 Discord 機器人、編寫自動審核腳本、通知或響應,以及在沒有機器人賬户的情況下從 Discord 運行命令或檢索數據。
惡意包包含竊取受害者 Discord 認證令牌的代碼,并将其發送到外部 URL。攻擊者無需訪問憑據,可以使用被盜的 Tokens 中劫持開發者的 Discord 賬户,即使啓用了雙因素身份驗證保護也是如此。
惡意包的第二個功能是通過端口 6969 與遠程伺服器創建持久連接,從而建立隐蔽的後門機制。根據作業系統的不同,它會啓動一個 shell(Linux 上的 "bash" 或 Windows 上的 "cmd"),讓攻擊者能夠持續訪問受害者的系統。
該後門程式在一個單獨的線程中運行,因此難以檢測,而該軟體包的功能似乎仍在正常運行。
據代碼安全公司 Socket 稱,該惡意包于去年 6 月添加到 PyPI,迄今已被下載 885 次。截至 IT 之家撰寫本文時,該軟體包仍然可以在 PyPI 上,從一個經過平台驗證其詳細信息的發布者處獲得。
