Специалисты по кибербезопасности из компании Fortinetвыявилиновый вредоносный пакет в реестре для разработчиковPyPI, нацеленный на кражу данных пользователейDiscord. Пакет под названием «discordpy_bypass-1.7» был опубликован 10 марта 2024 года и обнаружен через два дня, пишет Securitylab. Пакет, разработанный пользователем под ником «Theaos», включает в себя семь версий с похожими характеристиками. Его основная цель — извлечение конфиденциальной информации с помощью техник установления постоянства в системе жертвы, извлечения данных из браузеров и сбора токенов. В ходе технического анализа было установлено, что пакет использует многоуровневые меры уклонения, включая кодирование базового кодаPythonс помощьюbase64, дополнительные методы обфускации и компиляцию в исполняемый файл, который загружается с удалённого URL. Кроме того, злоумышленники также внедрили ряд проверок, позволяющих вредоносной программе определять запуск в песочнице и прерывать свою работу. К тому же, программа способна идентифицировать и блокировать IP- и MAC-адреса, занесённые в чёрные списки. Особое внимание вредоносный код уделяет авторизационным данным Discord, извлекая из браузеров пароли, cookie-файлы и историю веб-поиска. Перед отправкой на удалённый сервер, извлечённые токены дешифруются и проверяются.