Поделиться
В репозитории Python найден вредонос, ворующий токены авторизации в Discord
В репозитории Python Package Index уже полгода располагается вредоносная библиотека, которая дублирует популярный пакет discord.py-self, но «нагрузкой» крадет токены и расставляет бэкдоры.
Библиотека-мимик
В ключевом репозитории языка Python – PyPi – обнаружился очередной вредоносный пакет. Он имитирует легитимный инструмент для создания ботов, повторяет его функциональность, но также внедряет в системы бэкдор и средство перехвата токенов аутентификации в Discord.
Пакет называется pycord-self. Он дублирует функциональность другого – чрезвычайно популярного – пакета discord.py-self, который позволяет коммуницировать с пользовательским API Discord и автоматизировать управление пользовательскими аккаунтами.
Эту библиотеку чаще всего используют для автоматизации различных аспектов работы с Discord – автоматизированной модерации, уведомлений и т.д. Используется он также для извлечения информации из Discord без создания бот-аккаунта.
Легитимный пакет набрал 28 млн скачиваний. Мимикрирующий под него вредонос, как отмечают эксперты компании Socket, только 885. Загружен он был сравнительно давно – в июне 2024 г. Интересно, что вредонос размещен аккаунтом со статусом «проверенный». По идее, такой статус должен служить мерой предосторожности.
Кража токенов, кроссплатформенный бэкдор
Эксперты Socket проанализировали вредоносный пакет и установили, что, помимо дублирования функции discord.py-self, он осуществляет сразу две операции: перехватывает токены аутентификации Discord (и отправляет их на внешний URL) и устанавливает бэкдор в систему.
Используя перехваченный токен, злоумышленники могут перехватывать аккаунт потенциальной жертвы (скорее всего, это будет разработчик программного обеспечения), даже если в аккаунте задействована двухфакторная авторизация.
Что касается бэкдора, то его роль выполняет shell-утилита командной строки (bash под Linux и cmd под Windows), устанавливающая постоянно соединение с удаленным сервером через порт 6969. Бэкдор функционирует как отдельный процесс, так что выявить его оказывается не так просто.
«Во вредоносных библиотеках, имитирующих или дублирующих основную функциональность популярных инструментов, в целом, нет ничего нового, хотя в последнее время новости о подобных открытиях стали появляться все чаще, – отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Разработчикам следует соблюдать максимальную осторожность при использовании сторонних компонентов, желательно, выверяя их происхождение и проводя аудит кода».
Вредонос доступен до сих пор, хотя его дни, скорее всего, сочтены.
Поделиться
Короткая ссылка
