PyPI惊现暗藏祸心的包：窃取 Discord token 并植入后门

揭秘：PyPI上的潜在威胁，黑客如何窃取 Discord token 并植入后门！

　　 1月18日消息，科技媒体bleepingcomputer昨日（1月17日）发布了一篇文章，指出一个名为“pycord-self”的恶意软件包被上传到了Python包索引（PyPI）。该恶意包旨在窃取Discord开发者的认证令牌，并在受感染的系统中安装后门以便进行远程操控。

　　 “pycord-malicious”恶意包伪装成流行的Discord开发库“discord.py-self”，该库是一个Python库，用于与Discord的用户API进行通信，并允许开发者以编程方式控制账户。

　　 "discord.py-self" 通常应用于消息传输和自动交互操作、构建Discord机器人、编写自动审核程序、发送通知或回应指令，并且能够在不使用机器人账号的前提下从Discord发出命令或获取信息。

　　 恶意软件通常会植入窃取用户Discord认证令牌的代码，并将这些信息发送至外部服务器。即便用户开启了双因素认证，攻击者依然可以通过盗取的令牌控制受害者的Discord账号。这种行为不仅威胁到了个人用户的隐私安全，也对开发者的账户安全造成了严重隐患。尤其在当前网络安全形势日益严峻的情况下，这种利用技术漏洞进行非法活动的行为显得尤为恶劣。开发者和普通用户都应提高警惕，加强账户安全防护措施，比如定期更换密码、启用更高级别的身份验证方式等，以减少被攻击的风险。

　　 恶意软件的第二个功能是通过端口6969与远程服务器建立持久连接，从而设置隐蔽的后门。依据不同操作系统，它会开启一个shell（在Linux上为“bash”，在Windows上为“cmd”），使攻击者能够持续访问受害者的系统。

　　 该后门程序在后台悄悄地以独立线程的形式运行，这使得它极其隐蔽且难以被察觉，但用户界面和软件的主要功能却依然如常运作。这种设计让恶意代码得以长期潜伏，给用户的安全带来了极大的隐患。开发者应当更加重视软件的安全性审查，确保没有未授权的后台进程，这样才能更好地保护用户的隐私与安全。

　　 据代码安全公司Socket报告，一个恶意软件包自去年6月起被悄悄加入到PyPI（Python包索引）中，至今已累计被下载了885次。目前，这个软件包依然可以被访问，并且它似乎通过了PyPI的验证流程，能够从该平台上合法发布的来源处获取。这无疑再次凸显了开源软件生态系统面临的持续性安全挑战。随着开发者依赖外部代码的频率不断增加，确保这些代码库的安全性变得尤为重要。尽管如此，这一事件也反映了现有的安全措施可能仍有不足之处，需要进一步改进以防止类似情况的发生。