IT 之家 1 月 18 日音讯开云登录入口登录APP下载(中国)官方网站，科技媒体 bleepingcomputer 昨日（1 月 17 日）发布博文，报说念称名为" pycord-self "的坏心包出当今 Python 包索引（PyPI）上，盘算是窃取 Discord 开导者的身份考据令牌，并在系统中植入后门以竣事费力适度。

" pycord-self "坏心包伪装成流行的 Discord 开导库" discord.py-self "，后者是一个 Python 库，因循与 Discord 的用户 API 进行通讯，并允许开导者以编程面目适度账户。

" discord.py-self "频繁用于音讯传递和自动化交互、创建 Discord 机器东说念主、编写自动审核剧本、见告或反映，以及在莫得机器东说念主账户的情况下从 Discord 开动号召或检索数据。

坏心包包含窃取受害者 Discord 认证令牌的代码，并将其发送到外部 URL。袭击者无需造访左证，不错使用被盗的 Tokens 中劫合手开导者的 Discord 账户，即使启用了双身分身份考据保护亦然如斯。

坏心包的第二个功能是通过端口 6969 与费力业绩器创建合手久连续，从而缔造隐私的后门机制。根据操作系统的不同，它会启动一个 shell（Linux 上的" bash "或 Windows 上的" cmd "），让袭击者约略合手续造访受害者的系统。

该后门法子在一个单独的线程中开动，因此难以检测，而该软件包的功能似乎仍在平淡开动。

据代码安全公司 Socket 称，该坏心包于旧年 6 月添加到 PyPI，迄今已被下载 885 次。放浪 IT 之家撰写本文时，该软件包仍然不错在 PyPI 上开云登录入口登录APP下载(中国)官方网站，从一个经由平台考据其夺目信息的发布者处获取。