IT 之家 1 月 18 日音尘开云(中国)kaiyun网页版登录入口，科技媒体 bleepingcomputer 昨日（1 月 17 日）发布博文，报说念称名为" pycord-self "的坏心包出当今 Python 包索引（PyPI）上，成见是窃取 Discord 开拓者的身份考据令牌，并在系统中植入后门以末端云尔胁制。

" pycord-self "坏心包伪装成流行的 Discord 开拓库" discord.py-self "，后者是一个 Python 库，支撑与 Discord 的用户 API 进行通讯，并允许开拓者以编程步地胁制账户。

" discord.py-self "往往用于音尘传递和自动化交互、创建 Discord 机器东说念主、编写自动审核剧本、见告或反应，以及在莫得机器东说念主账户的情况下从 Discord 开头敕令或检索数据。

坏心包包含窃取受害者 Discord 认证令牌的代码，并将其发送到外部 URL。膺惩者无需拜谒凭证，不错使用被盗的 Tokens 中劫捏开拓者的 Discord 账户，即使启用了双身分身份考据保护亦然如斯。

坏心包的第二个功能是通过端口 6969 与云尔办事器创建捏久汇集，从而成立荫藏的后门机制。根据操作系统的不同，它会启动一个 shell（Linux 上的" bash "或 Windows 上的" cmd "），让膺惩者大致捏续拜谒受害者的系统。

该后门循序在一个单独的线程中开头，因此难以检测，而该软件包的功能似乎仍在往往开头。

据代码安全公司 Socket 称，该坏心包于客岁 6 月添加到 PyPI开云(中国)kaiyun网页版登录入口，迄今已被下载 885 次。胁制 IT 之家撰写本文时，该软件包仍然不错在 PyPI 上，从一个流程平台考据其闪耀信息的发布者处得回。