Python package index (PyPI)上の’pycord-self’という悪意のあるパッケージは、認証トークンを盗み、システムを遠隔操作するためのバックドアを仕掛けるために、Discord開発者を標的にしている。
このパッケージは、2,800万近くダウンロードされている非常に人気のある「discord.py-self」を模倣しており、正規のプロジェクトの機能さえ提供している。
公式パッケージはPythonライブラリで、DiscordのユーザーAPIとの通信を可能にし、開発者がプログラムでアカウントを制御できるようにする。
これは通常、メッセージングやインタラクションの自動化、Discordボットの作成、自動モデレーションや通知、応答のスクリプト化、ボットアカウントを使わずにコマンドを実行したりDiscordからデータを取得したりするために使用される。
コードセキュリティ会社Socketによると、この悪質なパッケージは昨年6月にPyPiに追加され、これまでに885回ダウンロードされている。
本稿執筆時点では、このパッケージはまだPyPIで入手可能で、プラットフォームによって詳細が確認されたパブリッシャーから提供されている。

Source :
トークンの盗難と永続的アクセス
Socketの研究者が悪意のあるパッケージを分析したところ、pycord-selfには主に2つのことを実行するコードが含まれていることがわかった。1つは、被害者からDiscord認証トークンを盗み出し、外部URLに送信することだ。

Source:ソケット
攻撃者は盗んだトークンを使って、2要素認証による保護が有効な場合でも、アクセス認証情報を必要とせずに開発者のDiscordアカウントを乗っ取ることができる。
悪意のあるパッケージの2つ目の機能は、ポート6969を通じてリモートサーバーへの持続的な接続を作成することで、ステルスバックドアメカニズムをセットアップすることです。
「オペレーティング・システムによっては、攻撃者が被害者のシステムに継続的にアクセスできるシェル(Linuxでは “bash”、Windowsでは “cmd”)を起動します。
「バックドアは別スレッドで実行されるため、パッケージが機能しているように見える間、検知することは難しい。

Source:ソケット
ソフトウェア開発者は、コードが正式な作者によるものであることを確認せずにパッケージをインストールすることを避けるよう、特にそれが人気のあるものである場合は、助言されている。パッケージ名を確認することで、タイポスクワッティングの被害に遭うリスクを下げることもできる。
オープンソースのライブラリを使用する場合、可能であればコードに疑わしい関数がないか確認し、難読化されているようなものは避けることをお勧めします。さらに、スキャンツールが悪意のあるパッケージの検出とブロックに役立つかもしれません。
Comments