Команда дослідників кібербезпеки Socket виявила критичну загрозу в репозиторії Python Package Index (PyPI). Зловмисники розповсюджують шкідливий пакет pycord-self, який імітує популярну бібліотеку discord.py-self для розробки Discord-додатків. Ця підробка становить серйозну небезпеку для розробників та кінцевих користувачів Discord.
Технічний аналіз шкідливого пакету
Зловмисники застосували метод тайпсквотингу – створення пакету з назвою, подібною до легітимної бібліотеки discord.py-self, яка має понад 28 мільйонів завантажень. Шкідливий клон частково відтворює функціональність оригінального пакету, що ускладнює його виявлення при поверхневому аналізі. Оригінальна бібліотека призначена для взаємодії з API Discord та автоматизації різноманітних операцій.
Механізми компрометації та ризики безпеки
Виявлене шкідливе ПЗ реалізує два основні вектори атаки. Перший напрямлений на викрадення аутентифікаційних токенів Discord, які передаються на контрольований зловмисниками сервер. Скомпрометовані токени дозволяють обходити навіть двофакторну автентифікацію, надаючи повний доступ до облікових записів жертв.
Прихована загроза віддаленого доступу
Другий механізм атаки полягає у встановленні прихованого бекдору через постійне з’єднання з командним сервером на порту 6969. Шкідливий код запускає командну оболонку в окремому потоці, що забезпечує непомітне виконання довільних команд при збереженні видимості нормальної роботи пакету.
Масштаби поширення та рекомендації із захисту
За період з червня минулого року шкідливий пакет був завантажений 885 разів. Для мінімізації ризиків експерти рекомендують розробникам ретельно перевіряти джерела пакетів, верифікувати цифрові підписи та використовувати автоматизовані інструменти аналізу залежностей. Критично важливо впровадити процеси регулярного аудиту безпеки використовуваних бібліотек.
Цей інцидент демонструє зростаючу важливість захисту ланцюжків постачання програмного забезпечення. Організаціям необхідно впроваджувати комплексні системи безпеки розробки, включаючи автоматизований аналіз коду, моніторинг залежностей та навчання персоналу з питань кібербезпеки. Тільки системний підхід до захисту дозволить ефективно протистояти сучасним кіберзагрозам.
