恶意 PyPi 包窃取开发人员的 Discord 身份验证令牌

admin
admin
admin
140350
文章
117
评论
2025年1月28日02:42:34评论10 views字数 851阅读2分50秒阅读模式

恶意 PyPi 包窃取开发人员的 Discord 身份验证令牌

Python 包索引(PyPI)上名为“pycord-self”的恶意包针对 Discord 开发人员,以窃取身份验证令牌并植入后门以远程控制系统。
该软件包模仿了非常流行的“discord.py-self”,其下载量接近 2800 万次,甚至提供合法项目的功能。
官方软件包是一个 Python 库,允许与 Discord 的用户 API 通信并允许开发人员以编程方式控制帐户。
它通常用于消息传递和自动化交互、创建 Discord 机器人、编写自动审核、通知或响应脚本,以及在没有机器人帐户的情况下运行命令或从 Discord 检索数据。
据代码安全公司Socket称,该恶意软件软件包于去年6月被添加到PyPi中,迄今为止已被下载885次。
在撰写本文时,该软件包仍可在 PyPI 上从其详细信息已通过该平台验证的发布者处获得。

恶意 PyPi 包窃取开发人员的 Discord 身份验证令牌

令牌盗窃和持续访问
Socket 研究人员对恶意软件包进行了分析,发现 pycord-self 包含执行两项主要操作的代码。一是从受害者那里窃取 Discord 身份验证令牌并将其发送到外部 URL。

恶意 PyPi 包窃取开发人员的 Discord 身份验证令牌

即使双因素身份验证保护处于活动状态,攻击者也可以使用被盗的令牌劫持开发人员的 Discord 帐户,而无需访问凭据。
该恶意软件的第二个功能是通过端口6969与远程服务器建立持久连接,建立隐秘的后门机制。
Socket 在报告中解释道:“根据操作系统的不同,它会启动一个 shell(Linux 上的“bash”或 Windows 上的“cmd”),让攻击者能够持续访问受害者的系统。”
后门在单独的线程中运行,因此很难被发现,但软件包仍然保持功能正常。

恶意 PyPi 包窃取开发人员的 Discord 身份验证令牌

建议软件开发人员避免在未检查代码是否来自官方作者的情况下安装软件包,针对热度比较高的,验证软件包的名称也可以降低成为域名抢注受害者的风险。
使用开源库时,建议尽可能检查代码中是否存在可疑函数,并避免任何看似模糊的内容。此外,扫描工具可能有助于检测和阻止恶意程序包。

信息来源:BleepingComputer

原文始发于微信公众号(犀牛安全):恶意 PyPi 包窃取开发人员的 Discord 身份验证令牌

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月28日02:42:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意 PyPi 包窃取开发人员的 Discord 身份验证令牌https://cn-sec.com/archives/3679901.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息