恶意 PyPi 软件包暗藏 RAT 木马，长期针对 Discord 开发者

网络安全研究人员在Python官方软件仓库PyPI中发现一个针对Discord开发者的恶意恶意Python软件包，该软件包内含远程访问木马（RAT）恶意程序 ，软件已潜伏超过三年之久。包暗

伪装成调试工具的藏R长期恶意软件

这款名为"discordpydebug"的软件包伪装成Discord机器人开发者的错误日志工具 
。尽管没有任何功能说明或文档，木马但自2022年3月21日上传以来已被下载超过11,针对000次 。

首个发现该威胁的免费模板恶意网络安全公司Socket指出，该恶意软件可用于在Discord开发者系统中植入后门，软件使攻击者能够窃取数据并远程执行代码
。包暗

Socket研究人员表示："该软件包针对构建或维护Discord机器人的藏R长期开发者群体，通常是木马独立开发者、自动化工程师或小型团队，针对这些用户可能会在没有严格审查的恶意情况下安装此类工具。亿华云"

"由于PyPI不会对上传的软件软件包进行深度安全审核，攻击者经常利用这一点 ，包暗通过使用误导性描述、看似合法的名称
，甚至复制流行项目的代码来伪装可信度
。"

恶意功能分析

安装后，该恶意软件会将设备转变为远程控制系统 ，模板下载执行来自攻击者控制的命令与控制（C2）服务器的指令
。

攻击者可利用该恶意软件：

未经授权获取凭证（如令牌、密钥和配置文件）窃取数据并监控系统活动而不被发现远程执行代码以部署更多恶意负载获取有助于在网络内横向移动的信息

PyPI上的discordpydebug软件包（BleepingComputer）

隐蔽通信机制

虽然该恶意软件缺乏持久化或权限提升机制，但它使用出站HTTP轮询而非入站连接
，这使得它能够绕过防火墙和安全软件，特别是源码库在管控松散的开发环境中 。

安装后，软件包会静默连接到攻击者控制的C2服务器（backstabprotection.jamesx123.repl[.]co），发送带有"name"值的POST请求，将被感染主机添加到攻击者基础设施中 。

当C2服务器发送特定关键词触发时 ，该恶意软件还能通过JSON操作读写主机上的建站模板文件，使威胁行为者能够窥探敏感数据 。

安全防护建议

为降低从在线代码仓库安装后门恶意软件的风险，软件开发人员应：

确保下载安装的软件包来自官方作者，特别是流行软件包 ，避免遭遇"拼写错误劫持"（typosquatting）使用开源库时审查代码中可疑或混淆的函数考虑使用安全工具检测和拦截恶意软件包高防服务器