名为“pycord-self”的恶意Python包在PyPI上被发现，它伪装成流行的Discord开发库“discord.py-self”，旨在窃取Discord开发者的身份验证令牌并在系统中植入后门。该恶意包包含窃取受害者Discord认证令牌的代码，并将其发送到外部URL，从而允许攻击者劫持开发者账户，即使启用了双因素身份验证。此外，它还通过端口6969与远程服务器创建持久连接，建立后门机制，允许攻击者持续访问受害者的系统。该恶意包于去年6月添加到PyPI，已被下载885次，目前仍可在PyPI上获取。

⚠️ “pycord-self”恶意包伪装成流行的Discord开发库“discord.py-self”，诱导开发者下载安装，从而实现攻击目的。

🔑 该恶意包的核心功能是窃取受害者的Discord认证令牌，并将其发送到外部服务器，使得攻击者无需凭据即可劫持账户，即使启用了双因素身份验证也无法防御。

🚪 该恶意包还会在受害者系统中植入后门，通过端口6969与远程服务器建立持久连接，允许攻击者持续访问和控制受害者的系统，且该后门程序在单独线程中运行，难以被检测。

IT之家 1 月 18 日消息，科技媒体 bleepingcomputer 昨日（1 月 17 日）发布博文，报道称名为“pycord-self”的恶意包出现在 Python 包索引（PyPI）上，目标是窃取 Discord 开发者的身份验证令牌，并在系统中植入后门以实现远程控制。

“pycord-self”恶意包伪装成流行的 Discord 开发库“discord.py-self”，后者是一个 Python 库，支持与 Discord 的用户 API 进行通信，并允许开发者以编程方式控制账户。

“discord.py-self”通常用于消息传递和自动化交互、创建 Discord 机器人、编写自动审核脚本、通知或响应，以及在没有机器人账户的情况下从 Discord 运行命令或检索数据。

恶意包包含窃取受害者 Discord 认证令牌的代码，并将其发送到外部 URL。攻击者无需访问凭据，可以使用被盗的 Tokens 中劫持开发者的 Discord 账户，即使启用了双因素身份验证保护也是如此。

恶意包的第二个功能是通过端口 6969 与远程服务器创建持久连接，从而建立隐蔽的后门机制。根据操作系统的不同，它会启动一个 shell（Linux 上的“bash”或 Windows 上的“cmd”），让攻击者能够持续访问受害者的系统。

该后门程序在一个单独的线程中运行，因此难以检测，而该软件包的功能似乎仍在正常运行。

据代码安全公司 Socket 称，该恶意包于去年 6 月添加到 PyPI，迄今已被下载 885 次。截至IT之家撰写本文时，该软件包仍然可以在 PyPI 上，从一个经过平台验证其详细信息的发布者处获得。