网络安全研究人员在Python官方软件仓库PyPI中发现一个针对Discord开发者的恶意Python软件包，该软件包内含远程访问木马（RAT）恶意程序，已潜伏超过三年之久。

伪装成调试工具的恶意软件

这款名为"discordpydebug"的软件包伪装成Discord机器人开发者的错误日志工具。尽管没有任何功能说明或文档，但自2022年3月21日上传以来已被下载超过11,000次。

首个发现该威胁的网络安全公司Socket指出，该恶意软件可用于在Discord开发者系统中植入后门，使攻击者能够窃取数据并远程执行代码。

Socket研究人员表示："该软件包针对构建或维护Discord机器人的开发者群体，通常是独立开发者、自动化工程师或小型团队，这些用户可能会在没有严格审查的情况下安装此类工具。"

"由于PyPI不会对上传的软件包进行深度安全审核，攻击者经常利用这一点，通过使用误导性描述、看似合法的名称，甚至复制流行项目的代码来伪装可信度。"

恶意功能分析

安装后，该恶意软件会将设备转变为远程控制系统，执行来自攻击者控制的命令与控制（C2）服务器的指令。

攻击者可利用该恶意软件：

• 未经授权获取凭证（如令牌、密钥和配置文件）

• 窃取数据并监控系统活动而不被发现

• 远程执行代码以部署更多恶意负载

• 获取有助于在网络内横向移动的信息

PyPI上的discordpydebug软件包（BleepingComputer）

隐蔽通信机制

虽然该恶意软件缺乏持久化或权限提升机制，但它使用出站HTTP轮询而非入站连接，这使得它能够绕过防火墙和安全软件，特别是在管控松散的开发环境中。

安装后，软件包会静默连接到攻击者控制的C2服务器（backstabprotection.jamesx123.repl[.]co），发送带有"name"值的POST请求，将被感染主机添加到攻击者基础设施中。

当C2服务器发送特定关键词触发时，该恶意软件还能通过JSON操作读写主机上的文件，使威胁行为者能够窥探敏感数据。

安全防护建议

为降低从在线代码仓库安装后门恶意软件的风险，软件开发人员应：

• 确保下载安装的软件包来自官方作者，特别是流行软件包，避免遭遇"拼写错误劫持"（typosquatting）

• 使用开源库时审查代码中可疑或混淆的函数

• 考虑使用安全工具检测和拦截恶意软件包

来源：FreeBuf

推荐阅读

原文始发于微信公众号（信息安全大事件）：恶意 PyPi 软件包暗藏 RAT 木马，长期针对 Discord 开发者