该恶意包模拟的是非常热门的包 “discord.py-self”，后者下载量近2800万次，允许与 Discrod 的用户API进行通信并可视化开发人员从程序上控制账户。该包通常用于消息和自动化交互，创建 Discord 机器人，编写自动化主持、通知或响应，并在无需机器人账户的情况下从Discord运行命令或检索数据，而恶意包 “pycord-self” 甚至会提供该合法项目的功能。

代码安全公司 Socket 表示，该恶意包在去年6月被纳入 PyPI 平台，目前为止的下载量达到885次。在本文发布之际，该包依然可用，而其发布者的详情已获得平台验证。

窃取令牌，获得持久访问权限

Socket 公司的研究人员分析该恶意包发现，pycord-self 中包含的代码可执行两个操作。第一个是窃取受害者的Discord 认证令牌并将其发送给一个外部URL。攻击者可利用被盗令牌劫持开发人员的 Discord 账户而无需访问凭据，即使双因素认证防护措施为活跃状态也不例外。

该恶意包的第二个功能是，通过端口6969创建与远程服务器的持久性连接，设置隐秘的后门机制。研究人员提到，“根据操作系统的不同，它会启动一个shell（Linux 系统上为 bash，Windows 系统上为cmd），使攻击者持续访问受害者的系统。该后门在一个单独线程中运行，因此当该包仍然看似正在运行时，难以被检测到。”

建议软件开发人员在安装程序包之前先查看该官方作者的代码，尤其如果该包是热门包的话。验证该程序包的名称也可降低受害者遭 typosquatting 攻击的风险。

在与开源库进行协作时，建议先查看代码中的可疑函数，避免使用任何看似混淆的函数。另外，使用扫描工具也有助于检测和拦截恶意包。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~