聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该恶意包模拟的是非常热门的包 “discord.py-self”,后者下载量近2800万次,允许与 Discrod 的用户API进行通信并可视化开发人员从程序上控制账户。该包通常用于消息和自动化交互,创建 Discord 机器人,编写自动化主持、通知或响应,并在无需机器人账户的情况下从Discord运行命令或检索数据,而恶意包 “pycord-self” 甚至会提供该合法项目的功能。
代码安全公司 Socket 表示,该恶意包在去年6月被纳入 PyPI 平台,目前为止的下载量达到885次。在本文发布之际,该包依然可用,而其发布者的详情已获得平台验证。
Socket 公司的研究人员分析该恶意包发现,pycord-self 中包含的代码可执行两个操作。第一个是窃取受害者的Discord 认证令牌并将其发送给一个外部URL。攻击者可利用被盗令牌劫持开发人员的 Discord 账户而无需访问凭据,即使双因素认证防护措施为活跃状态也不例外。
该恶意包的第二个功能是,通过端口6969创建与远程服务器的持久性连接,设置隐秘的后门机制。研究人员提到,“根据操作系统的不同,它会启动一个shell(Linux 系统上为 bash,Windows 系统上为cmd),使攻击者持续访问受害者的系统。该后门在一个单独线程中运行,因此当该包仍然看似正在运行时,难以被检测到。”
建议软件开发人员在安装程序包之前先查看该官方作者的代码,尤其如果该包是热门包的话。验证该程序包的名称也可降低受害者遭 typosquatting 攻击的风险。
在与开源库进行协作时,建议先查看代码中的可疑函数,避免使用任何看似混淆的函数。另外,使用扫描工具也有助于检测和拦截恶意包。
原文始发于微信公众号(代码卫士):PyPI 恶意包窃取Discord 开发人员的认证令牌
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论