IT 之家 1 月 18 日音信，科技媒体 bleepingcomputer 昨日（1 月 17 日）发布博文体育游戏app平台，报说念称名为" pycord-self "的坏心包出目下 Python 包索引（PyPI）上，盘算是窃取 Discord 开发者的身份考证令牌，并在系统中植入后门以已毕侵略抵制。

" pycord-self "坏心包伪装成流行的 Discord 开发库" discord.py-self "，后者是一个 Python 库，撑握与 Discord 的用户 API 进行通讯，并允许开发者以编程方式抵制账户。

" discord.py-self "频繁用于音信传递和自动化交互、创建 Discord 机器东说念主、编写自动审核剧本、见知或反映，以及在莫得机器东说念主账户的情况下从 Discord 脱手大呼或检索数据。

坏心包包含窃取受害者 Discord 认证令牌的代码，并将其发送到外部 URL。挫折者无需拜谒凭证，不错使用被盗的 Tokens 中劫握开发者的 Discord 账户，即使启用了双成分身份考证保护亦然如斯。

坏心包的第二个功能是通过端口 6969 与侵略处事器创建握久邻接，从而迷惑袒护的后门机制。根据操作系统的不同，它会启动一个 shell（Linux 上的" bash "或 Windows 上的" cmd "），让挫折者好像握续拜谒受害者的系统。

该后门情状在一个单独的线程中脱手，因此难以检测，而该软件包的功能似乎仍在平素脱手。

据代码安全公司 Socket 称，该坏心包于旧年 6 月添加到 PyPI体育游戏app平台，迄今已被下载 885 次。律例 IT 之家撰写本文时，该软件包仍然不错在 PyPI 上，从一个进程平台考证其审视信息的发布者处得回。