恶意PyPi包窃取Discord开发者身份验证令牌

在Python包索引(PyPI)上发现了一个名为“pycord-self”的恶意Python包,该包通过窃取身份验证令牌并建立用于远程控制的后门来针对Discord开发人员。该软件包模仿了合法的“discord.py-self”项目,该项目广泛用于管理与Discord用户API的交互,下载量接近2800万次。尽管具有危险的功能,但“pycord-self”自去年6月上传以来已被下载885次,并且在PyPI上仍然可用。来源。Socket的安全研究人员分析了“pycord-self”包并确定了两个关键的恶意活动。首先,它从受感染的系统窃取Discord身份验证令牌并将其传输到外部URL,即使启用了双因素身份验证,攻击者也可以劫持Discord账户。其次,该软件包通过端口6969创建与远程服务器的持久连接来设置后门,从而根据受害者的操作系统(Linux上的“bash”或Windows上的“cmd”)为攻击者提供通过shell的持续访问。