Специалисты по кибербезопасности компании Socket обнаружили серьезную угрозу в популярном репозитории Python-пакетов PyPI. Вредоносный пакет pycord-self, замаскированный под легитимную библиотеку discord.py-self, представляет значительную опасность для разработчиков Discord-приложений.
Механизм работы вредоносного ПО
Злоумышленники использовали технику тайпсквоттинга, создав пакет с названием, похожим на популярную библиотеку discord.py-self, которая насчитывает более 28 миллионов загрузок. Вредоносный клон частично реализует функциональность оригинальной библиотеки, что затрудняет его обнаружение. Легитимный пакет предназначен для программного взаимодействия с пользовательским API Discord, включая создание ботов и автоматизацию различных задач.
Основные угрозы безопасности
Malware выполняет две критические вредоносные функции. Во-первых, осуществляет кражу аутентификационных токенов Discord, передавая их на удаленный сервер злоумышленников. Похищенные токены позволяют обходить даже двухфакторную аутентификацию, предоставляя полный доступ к скомпрометированным аккаунтам.
Скрытый бэкдор
Вторая опасная функция заключается в установке скрытого бэкдора через постоянное соединение с удаленным сервером на порту 6969. Вредонос запускает командную оболочку (bash в Linux или cmd в Windows) в отдельном потоке, что существенно затрудняет его обнаружение при сохранении видимости нормального функционирования пакета.
Масштаб угрозы и рекомендации по защите
С момента появления в июне прошлого года вредоносный пакет был загружен 885 раз. Для защиты от подобных угроз специалисты рекомендуют разработчикам тщательно проверять авторство устанавливаемых пакетов и внимательно анализировать их названия. Особое внимание следует уделять проверке цифровых подписей и репутации источников программного обеспечения.
Данный инцидент подчеркивает растущую важность безопасности цепочек поставки программного обеспечения и необходимость внедрения комплексных мер защиты при разработке приложений. Рекомендуется использовать специализированные инструменты анализа безопасности зависимостей и регулярно проводить аудит используемых библиотек на предмет потенциальных угроз.
