【安全资讯】恶意PyPi包隐藏RAT恶意软件，自2022年起针对Discord开发者

概要：

近年来，网络安全威胁不断升级，尤其是针对开发者的恶意软件攻击。最近，安全公司Socket发现一个名为"discordpydebug"的恶意Python包，该包在Python Package Index (PyPI)上被下载超过11,000次，目标是Discord开发者。此事件突显了开源软件生态系统中的安全隐患。

主要内容：

"discordpydebug"伪装成Discord机器人开发者的错误日志工具，实际上却隐藏了远程访问木马（RAT）恶意软件。该恶意软件能够在开发者的系统中创建后门，允许攻击者进行数据窃取和远程代码执行。Socket的研究人员指出，这一包特别针对独立开发者和小团队，他们可能在没有充分审查的情况下安装此类工具。

由于PyPI未对上传的包进行深入的安全审计，攻击者常常利用误导性描述和合法名称来伪装成可信的工具。一旦安装，该恶意包会将设备转变为远程控制系统，执行来自攻击者控制的命令与控制（C2）服务器的指令。攻击者可以利用该恶意软件获取凭证、窃取数据并监控系统活动，甚至在网络中横向移动。

尽管该恶意软件缺乏持久性或权限提升机制，但它通过出站HTTP轮询而非入站连接，能够绕过防火墙和安全软件，尤其是在控制较松的开发环境中。为了降低从在线代码库安装后门恶意软件的风险，软件开发者应确保下载的包来自官方作者，并在安装前仔细审查代码，使用安全工具检测和阻止恶意包。