網絡安全研究人員在Python官方軟件倉庫PyPI中發現一個針對Discord開發者的惡意Python軟件包，該軟件包內含遠程訪問木馬（RAT）惡意程序，已潛伏超過三年之久。

偽裝成調試工具的惡意軟件

這款名為"discordpydebug"的軟件包偽裝成Discord機器人開發者的錯誤日志工具。盡管沒有任何功能說明或文檔，但自2022年3月21日上傳以來已被下載超過11,000次。

首個發現該威脅的網絡安全公司Socket指出，該惡意軟件可用于在Discord開發者系統中植入后門，使攻擊者能夠竊取數據并遠程執行代碼。

Socket研究人員表示："該軟件包針對構建或維護Discord機器人的開發者群體，通常是獨立開發者、自動化工程師或小型團隊，這些用戶可能會在沒有嚴格審查的情況下安裝此類工具。"

"由于PyPI不會對上傳的軟件包進行深度安全審核，攻擊者經常利用這一點，通過使用誤導性描述、看似合法的名稱，甚至復制流行項目的代碼來偽裝可信度。"

惡意功能分析

安裝后，該惡意軟件會將設備轉變為遠程控制系統，執行來自攻擊者控制的命令與控制（C2）服務器的指令。

攻擊者可利用該惡意軟件：

• 未經授權獲取憑證（如令牌、密鑰和配置文件）
• 竊取數據并監控系統活動而不被發現
• 遠程執行代碼以部署更多惡意負載
• 獲取有助于在網絡內橫向移動的信息

PyPI上的discordpydebug軟件包（BleepingComputer）

隱蔽通信機制

雖然該惡意軟件缺乏持久化或權限提升機制，但它使用出站HTTP輪詢而非入站連接，這使得它能夠繞過防火墻和安全軟件，特別是在管控松散的開發環境中。

安裝后，軟件包會靜默連接到攻擊者控制的C2服務器（backstabprotection.jamesx123.repl[.]co），發送帶有"name"值的POST請求，將被感染主機添加到攻擊者基礎設施中。

當C2服務器發送特定關鍵詞觸發時，該惡意軟件還能通過JSON操作讀寫主機上的文件，使威脅行為者能夠窺探敏感數據。

安全防護建議

為降低從在線代碼倉庫安裝后門惡意軟件的風險，軟件開發人員應：

• 確保下載安裝的軟件包來自官方作者，特別是流行軟件包，避免遭遇"拼寫錯誤劫持"（typosquatting）
• 使用開源庫時審查代碼中可疑或混淆的函數
• 考慮使用安全工具檢測和攔截惡意軟件包