披着羊皮的狼：PyPI 现恶意包，窃取 Discord token 并植入后门

IT之家 1 月 18 日消息，科技媒体 bleepingcomputer 于昨日（1 月 17 日）发布一篇文章，报道称名为“pycord-self”的恶意软件包出现在 Python 包索引（PyPI）上，其主要目的是盗取 Discord 开发者的身份验证令牌，并在用户系统中植入后门以便于远程控制。

“pycord-self”恶意软件包伪装成了流行的 Discord 开发库“discord.py-self”，后者为一个 Python 库，支持与 Discord 用户 API 通信，并为开发者提供了以编程方式控制账户的能力。

“discord.py-self”常用于信息传递与自动化互动、创建 Discord 机器人、编写自动审核脚本、发送通知或响应，甚至在没有机器人账户的情况下从 Discord 上执行命令或获取数据。

该恶意包内嵌有窃取受害者 Discord 认证令牌的代码，并将其发送至外部 URL。攻击者无需直接访问凭据，便可利用被盗的 Tokens 劫持开发者的 Discord 账户，即使目标启用了双因素身份验证，依旧毫无防备。

此恶意包的另一功能是通过端口 6969 与远程服务器建立持久连接，从而实现隐秘的后门机制。根据操作系统的不同，它能启动一个 shell（在 Linux 上为“bash”，在 Windows 上为“cmd”），使得攻击者能够持续渗透受害者的系统。

该后门程序在单独的线程中悄然运行，因此难以被检测，而该软件包的表面功能依然看似正常。

根据网络安全公司 Socket 的报告，该恶意软件包于去年 6 月被上传至 PyPI，至今已被下载了885次。截至IT之家撰写此文时，该软件包依然在 PyPI 上开放下载，来源于一个已通过平台验证的发布者。

广告声明：文章中包含的对外链接（包括但不限于超链接、二维码、口令等），旨在提供更多信息，节省咨询时间，结果仅供参考。