網(wǎng)絡(luò)安全研究人員在Python官方軟件倉庫PyPI中發(fā)現(xiàn)一個(gè)針對(duì)Discord開發(fā)者的惡意Python軟件包，該軟件包內(nèi)含遠(yuǎn)程訪問木馬（RAT）惡意程序，已潛伏超過三年之久。

偽裝成調(diào)試工具的惡意軟件

這款名為"discordpydebug"的軟件包偽裝成Discord機(jī)器人開發(fā)者的錯(cuò)誤日志工具。盡管沒有任何功能說明或文檔，但自2022年3月21日上傳以來已被下載超過11,000次。

首個(gè)發(fā)現(xiàn)該威脅的網(wǎng)絡(luò)安全公司Socket指出，該惡意軟件可用于在Discord開發(fā)者系統(tǒng)中植入后門，使攻擊者能夠竊取數(shù)據(jù)并遠(yuǎn)程執(zhí)行代碼。

Socket研究人員表示："該軟件包針對(duì)構(gòu)建或維護(hù)Discord機(jī)器人的開發(fā)者群體，通常是獨(dú)立開發(fā)者、自動(dòng)化工程師或小型團(tuán)隊(duì)，這些用戶可能會(huì)在沒有嚴(yán)格審查的情況下安裝此類工具。"

"由于PyPI不會(huì)對(duì)上傳的軟件包進(jìn)行深度安全審核，攻擊者經(jīng)常利用這一點(diǎn)，通過使用誤導(dǎo)性描述、看似合法的名稱，甚至復(fù)制流行項(xiàng)目的代碼來偽裝可信度。"

惡意功能分析

安裝后，該惡意軟件會(huì)將設(shè)備轉(zhuǎn)變?yōu)檫h(yuǎn)程控制系統(tǒng)，執(zhí)行來自攻擊者控制的命令與控制（C2）服務(wù)器的指令。

攻擊者可利用該惡意軟件：

• 未經(jīng)授權(quán)獲取憑證（如令牌、密鑰和配置文件）
• 竊取數(shù)據(jù)并監(jiān)控系統(tǒng)活動(dòng)而不被發(fā)現(xiàn)
• 遠(yuǎn)程執(zhí)行代碼以部署更多惡意負(fù)載
• 獲取有助于在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)的信息

PyPI上的discordpydebug軟件包（BleepingComputer）

隱蔽通信機(jī)制

雖然該惡意軟件缺乏持久化或權(quán)限提升機(jī)制，但它使用出站HTTP輪詢而非入站連接，這使得它能夠繞過防火墻和安全軟件，特別是在管控松散的開發(fā)環(huán)境中。

安裝后，軟件包會(huì)靜默連接到攻擊者控制的C2服務(wù)器（backstabprotection.jamesx123.repl[.]co），發(fā)送帶有"name"值的POST請(qǐng)求，將被感染主機(jī)添加到攻擊者基礎(chǔ)設(shè)施中。

當(dāng)C2服務(wù)器發(fā)送特定關(guān)鍵詞觸發(fā)時(shí)，該惡意軟件還能通過JSON操作讀寫主機(jī)上的文件，使威脅行為者能夠窺探敏感數(shù)據(jù)。

安全防護(hù)建議

為降低從在線代碼倉庫安裝后門惡意軟件的風(fēng)險(xiǎn)，軟件開發(fā)人員應(yīng)：

• 確保下載安裝的軟件包來自官方作者，特別是流行軟件包，避免遭遇"拼寫錯(cuò)誤劫持"（typosquatting）
• 使用開源庫時(shí)審查代碼中可疑或混淆的函數(shù)
• 考慮使用安全工具檢測和攔截惡意軟件包