Главная страница » IOC
0
2 месяца
IOC

Вредоносный PyPI-пакет 'pycord-self' нацелен на разработчиков Discord с помощью кражи токенов и эксплойта бэкдора

security

Команда Socket обнаружила вредоносный пакет PyPI под названием pycord-self, который предназначен для разработчиков, ищущих Python-обертки для пользовательского API Discord.

Описание

Этот вредоносный пакет имитирует легитимную библиотеку discord.py-self и обманывает разработчиков, побуждая их установить его. После установки пакета, злоумышленники могут получить доступ к токенам авторизации Discord и получить удаленный контроль над системами жертвы. Атака с использованием опечаток уже затронула сотни систем разработчиков и подчеркивает важность тщательного оценивания зависимостей перед их установкой.

Основными жертвами этой атаки являются Python-разработчики и создатели ботов Discord, которые ищут пользовательские API-библиотеки для интеграции в свои проекты. Вредоносный пакет использует стратегию опечаток, чтобы люди случайно устанавливали его, считая его легитимным пакетом discord.py-self.

Вредоносный пакет pycord-self имитирует легитимную библиотеку discord.py-self, однако есть несколько различий, которые помогают его идентифицировать. Вредоносный пакет указывает другого сопровождающего - "Linkedminds" вместо авторитетного автора "Dolfies". Также количество загрузок вредоносного пакета составляет всего 885 по сравнению с более чем 27,88 миллионами загрузок легитимного пакета. Эти различия явно указывают на обманный характер вредоносного пакета.

Вредоносный пакет pycord-self содержит код, способный выполнять различные действия. Он пересылает токены авторизации Discord на вредоносный URL, позволяя злоумышленникам получить несанкционированный доступ к учетной записи Discord жертвы. Также пакет содержит механизм сохранения бэкдора, который устанавливает постоянное соединение с удаленным сервером и предоставляет злоумышленникам доступ к системе жертвы через командную оболочку.

Эта атака подчеркивает важность тщательной оценки зависимостей перед их установкой для разработчиков. В данном случае, разработчики, которые не проверили идентичность и достоверность пакета pycord-self, подверглись опасности утечки токенов аутентификации и удаленного доступа злоумышленников к их системам.

Indicators of Compromise

IPv4

  • 45.159.223.177

Domains

  • radium.lol

URLs

  • http://radium.lol:42069/v2/3e728hd782dbyu12veyu2gd872fdg235jgg432fg/0/getupdates
Комментарии: 0
Похожие записи
0
1 день
IOC

Вредоносные пакеты Go, выдаваемые за популярные библиотеки, поставляют вредоносные программы-загрузчики, нацеленные на системы Linux и macOS

security
Вредоносные пакеты Go выдают себя за популярные библиотеки, чтобы установить скрытый загрузчик вредоносного ПО на Linux и macOS, нацеливаясь на разработчиков с помощью обфусцированной полезной нагрузки.
0
1 месяц
IOC

Атака на цепочку поставок Go: Вредоносный пакет использует кэширование прокси-модуля Go для обеспечения стойкости

security
Исследователи Socket обнаружили в экосистеме Go скрытый типосквот BoltDB, использующий кэширование прокси-модуля Go для того, чтобы оставаться незамеченным в течение многих лет.