HackerNews 编译,转载请注明出处:
一个名为“pycord-self”的恶意软件包出现在Python包索引(PyPI)上,该软件包的目标用户为Discord开发者,旨在窃取认证令牌并在系统中植入后门以实现远程控制。
该软件包模仿了广受欢迎的“discord.py-self”软件包,后者下载量已近2800万次,并且甚至提供了正版项目的功能。
正版软件包是一个Python库,允许与Discord的用户API通信,并允许开发者以编程方式控制账户。
它通常用于消息传递和自动化交互、创建Discord机器人、编写自动化管理脚本、通知或响应,以及在不使用机器人账户的情况下运行命令或从Discord检索数据。
据代码安全公司Socket称,该恶意软件包去年6月被添加到PyPi上,截至目前已被下载885次。
截至发稿时,该软件包仍可通过一个已通过平台验证其详细信息的发布者从PyPI获取。
PyPI上的恶意软件包(图片来源:BleepingComputer)
Socket研究人员分析了该恶意软件包,发现pycord-self包含执行两项主要操作的代码。一是从受害者处窃取Discord认证令牌并将其发送到外部URL。
攻击者可以使用窃取的令牌,在无需访问凭据的情况下劫持开发者的Discord账户,即使启用了双重身份验证保护也不例外。
该恶意软件包的第二个功能是,通过端口6969与远程服务器建立持久连接,从而设置一个隐蔽的后门机制。
Socket在报告中解释道:“根据操作系统的不同,它会启动一个shell(Linux上的“bash”或Windows上的“cmd”),使攻击者能够持续访问受害者的系统。”
“后门在单独的线程中运行,这使得在软件包继续看似正常运行的同时难以检测到它。”
在机器上设置后门(图片来源:Socket)
建议软件开发人员避免在不确认代码来自官方作者的情况下安装软件包,尤其是热门软件包。验证软件包名称也可以降低遭遇拼写劫持攻击的风险。
在使用开源库时,如果可能的话,建议审查代码以查找可疑功能,并避免使用任何看似混淆的代码。此外,扫描工具可能有助于检测和阻止恶意软件包。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
