У PyPI знову виявили малварь, на цей раз націлену на Discord-розробників. Пакет pycord-self краде аутентифікаційні токени і встановлює бекдор, дозволяючи своїм операторам отримати віддалений доступ до системи жертви.

Шкідливий пакет маскується під популярний discord.py-self (28 млн завантажень) і навіть дійсно пропонує частину його функціональності. Оригінальний discord.py-self — це Python-бібліотека, що дозволяє взаємодіяти з користувацьким API Discord і керувати обліковими записами програмно. Зазвичай цю бібліотеку використовують для автоматизації, створення ботів, модерації, повідомлень, а також виконання команд і вилучення даних без облікового запису бота.

Pycord-self виконує дві ключові завдання. Перша — крадіжка токенів аутентифікації Discord і передача їх зловмисникам на зовнішній URL. За допомогою такого вкраденого токена хакери зможуть захопити обліковий запис розробника без облікових даних, навіть якщо ввімкнено двофакторну аутентифікацію.

Друга функція малварі — встановлення прихованого бекдора через постійне з’єднання з віддаленим сервером на порту 6969.

«Залежно від ОС запускається шелл (bash в Linux або cmd в Windows), який дає зловмисникам постійний доступ до системи жертви, — пояснюють в Socket. — Бекдор працює в окремому потоці, тому його складно виявити, адже сам пакет продовжує здаватися робочим».

Дослідники вкотре нагадують, що розробникам слід перевіряти авторство пакетів перед їх встановленням, а також важливо уважно дивитися на назву бібліотеки, щоб не потрапити на гачок тайпсквотерів.