【安全资讯】恶意PyPi包窃取开发者Discord认证令牌

概要：

近期，一款名为'pycord-self'的恶意包在Python包索引（PyPI）上被发现，专门针对Discord开发者，窃取其认证令牌并植入后门以实现远程控制。这一事件引发了对开源软件安全性的广泛关注，尤其是在开发者日常使用的工具中潜藏的风险。

主要内容：

该恶意包模仿了广受欢迎的'discord.py-self'，后者已有近2800万次下载，且提供了类似的功能。根据代码安全公司Socket的分析，这款恶意包自去年6月被添加到PyPI以来，已被下载885次，且目前仍在平台上可用。该包的主要功能包括窃取Discord认证令牌并将其发送至外部URL，攻击者可以利用这些令牌劫持开发者的Discord账户，甚至在启用双因素认证的情况下也能成功。

此外，该恶意包还设置了隐蔽的后门机制，通过6969端口与远程服务器建立持久连接。根据Socket的报告，该后门在Linux上启动'bash'，在Windows上启动'cmd'，从而使攻击者能够持续访问受害者的系统。由于后门在单独线程中运行，难以被检测到，而恶意包本身仍然表现正常。

针对这一安全威胁，软件开发者被建议在安装包之前务必确认代码来源，尤其是对于流行的包。此外，验证包名和审查代码中的可疑功能也能降低受害风险。使用扫描工具检测和阻止恶意包也是一种有效的防护措施。