Researchers Uncover Malware in Fake Discord PyPI Package Downloaded 11,500+ Times
2025/05/07 TheHackerNews — Python Package Index (PyPI) リポジトリ上で、無害な Discord 関連ユーティリティを装いながら、リモートアクセス型トロイの木馬 (RAT) を取り込んでいる悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。この問題のパッケージは “discordpydebug” であり、2022年3月21日に PyPI にアップロードされている。すでに、このパッケージは 11,574回もダウンロードされており、PyPI レジストリ上で引き続き提供されている。興味深いことに、このパッケージは、それ以降において更新されていない。
Socket Research Team は、「一見すると、Discord.py ライブラリを使用して、Discord ボットを開発するための、シンプルなユーティリティのように見えた。しかし、このパッケージには、完全に機能するリモートアクセス型トロイの木馬 (RAT) が隠されていた」と述べている。
このパッケージがインストールされると、外部サーバ “backstabprotection.jamesx123.repl[.]co” への接続が行われ、そのサーバから受信する readfile/writefile コマンドが機能し、任意のファイルを読み書きする機能が備わる。なお、この RAT はシェルコマンドの実行機能もサポートしているという。
簡単に言うと、この “discordpydebug” は、コンフィグ・ファイル/トークン/認証情報などの機密データの読み取り、さらには、既存ファイルの改竄/追加ペイロードのダウンロード/データ窃取などのための、コマンド実行に悪用される可能性がある。
Socket は、「このコードには、永続化や権限昇格のメカニズムは含まれていないが、そのシンプルさはきわめて効果的である。インバウンド接続ではなく、アウトバウンド HTTP ポーリングを使用することで、特に管理が緩い開発環境においては、ほとんどのファイアウォールやセキュリティ監視ツールを回避できる」と述べている。
この情報公開に先立ち、他のエコシステムでも利用可能な正規のライブラリを装い、開発者を騙してインストールさせる 45種類以上の npm パッケージを、Socket は発見している。注目すべきタイポスクワットを、以下に挙げる:
- beautifulsoup4:BeautifulSoup4 Pythonライブラリ
- apache-httpclient:Apache HttpClient Java ライブラリ
- opentk:OpenTK .NET ライブラリ
- seaborn:Seaborn Pythonライブラリ
それぞれの特定されたパッケージは、それぞれのメンテナーを有しているが、同じインフラを共有し、同様の難読化されたペイロードを使用し、同じ IP アドレスを指し示すことが確認されている。つまり、単一の脅威アクターによる攻撃であることが示唆される。
Socket は、「このキャンペーンのものとして特定されたパッケージには、セキュリティ対策を回避し、悪意のスクリプトを実行し、機密データを盗み出し、影響を受けるシステム上で永続性を維持するように設計された、難読化されたコードが含まれている」と述べている。
この悪意のパッケージ discordpydebug ですが、文中では「引き続き提供されている」と紹介されています。ただし、その後の 2025/05/13 に確認したところ、PyPi から削除されたようです。よろしければ、PyPI + RAT で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.