Balíček s názvem „pycord-self“ na indexu balíčků Pythonu (PyPI) cílí na vývojáře Discordu, aby kradl autentizační tokeny a instaloval zadní vrátka pro vzdálené ovládání systému.
Balíček napodobuje velmi populární „discord.py-self“, který má téměř 28 milionů stažení, a dokonce nabízí funkce legitimního projektu. Oficiální balíček je knihovna Pythonu, která umožňuje komunikaci s uživatelským API Discordu a umožňuje vývojářům programově ovládat účty.
Obvykle se používá pro zasílání zpráv, automatizaci interakcí, vytváření botů pro Discord, skriptování automatizované moderace, notifikací nebo odpovědí a spouštění příkazů nebo získávání dat z Discordu bez účtu bota.
Podle společnosti zabývající se bezpečností kódu Socket byl zákeřný balíček přidán na PyPI loni v červnu a dosud byl stažen 885krát. Experti ze společnosti Socket analyzovali zákeřný balíček a zjistili, že „pycord-self“ obsahuje kód, který provádí dvě hlavní činnosti.
První je krádež autentizačních tokenů Discordu od oběti a jejich odesílání na externí URL. Útočníci mohou ukradený token použít k převzetí účtu vývojáře na Discordu, aniž by potřebovali přístupové údaje, a to i v případě, že je aktivní dvoufaktorová autentizace.
Druhou funkcí zákeřného balíčku je nastavení skrytého mechanismu zadních vrátek vytvořením trvalého připojení k vzdálenému serveru přes port 6969.
„V závislosti na operačním systému spouští shell („bash“ na Linuxu nebo „cmd“ na Windows), který útočníkovi poskytuje nepřetržitý přístup k systému oběti,“ vysvětluje Socket ve své zprávě. „Zadní vrátka běží v samostatném vlákně, což ztěžuje jejich detekci, zatímco balíček nadále působí funkčně.“
Vývojářům softwaru se doporučuje neinstalovat balíčky, aniž by si ověřili, že kód pochází od oficiálního autora, zejména pokud jde o populární balíčky. Ověření názvu balíčku může také snížit riziko, že se stanete obětí tzv. typosquattingu.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
