Một package Python độc hại có tên pycord-self đã được phát hiện trên PyPI, nhắm đến các nhà phát triển sử dụng Discord API. Package này giả mạo một thư viện hợp pháp là discord.py-self để đánh lừa người dùng tải xuống khiến token Discord của nạn nhân bị đánh cắp, cài đặt backdoor để tấn công truy cập từ xa.
Kẻ tấn công đã thay đổi tên của thư viện hợp pháp một cách tinh vi (typosquatting), khiến người dùng dễ nhầm lẫn khi tìm kiếm hoặc cài đặt. Trong khi thư viện gốc đã được tải xuống hơn 27 triệu lần, phiên bản giả mạo này cũng đạt 885 lượt tải trước khi bị phát hiện.
Sau khi cài đặt, package độc hại sẽ gửi thông tin đăng nhập Discord (token) của nạn nhân đến một máy chủ từ xa tại http:// radium.lol:42069. Đồng thời, nó cài đặt một backdoor kết nối tới một máy chủ khác (45.159.223.177:6969), cho phép kẻ tấn công điều khiển máy tính nạn nhân bằng cách mở lệnh bash hoặc cmd.
Nhóm đối tượng bị ảnh hưởng chính là các nhà phát triển Python và người tạo bot Discord, những người thường xuyên sử dụng thư viện API. Báo cáo khuyến cáo các nhà phát triển cần kiểm tra cẩn thận các thư viện trước khi cài đặt để tránh bị tấn công.
