https://blog.qife122.com/tags/c2%E9%9A%90%E8%94%BD%E9%80%9A%E4%BF%A1/ Recent content in C2隐蔽通信 on 办公AI智能小助手 Hugo zh-cn qife Wed, 03 Dec 2025 15:43:32 +0800 https://blog.qife122.com/p/%E9%BB%91%E5%AE%A2%E5%A6%82%E4%BD%95%E5%88%A9%E7%94%A8discord-webhook%E5%9C%A8%E4%B8%89%E4%B8%BB%E6%B5%81%E8%BD%AF%E4%BB%B6%E5%8C%85%E5%B9%B3%E5%8F%B0%E6%9E%84%E5%BB%BA%E9%9A%90%E8%94%BDc2%E9%80%9A%E9%81%93/ Wed, 03 Dec 2025 15:43:32 +0800 https://blog.qife122.com/p/%E9%BB%91%E5%AE%A2%E5%A6%82%E4%BD%95%E5%88%A9%E7%94%A8discord-webhook%E5%9C%A8%E4%B8%89%E4%B8%BB%E6%B5%81%E8%BD%AF%E4%BB%B6%E5%8C%85%E5%B9%B3%E5%8F%B0%E6%9E%84%E5%BB%BA%E9%9A%90%E8%94%BDc2%E9%80%9A%E9%81%93/ <h2 id="威胁攻击者利用discord-webhooks构建c2通道通过npmpypi和ruby软件包实施攻击">威胁攻击者利用Discord Webhooks构建C2通道，通过npm、PyPI和Ruby软件包实施攻击</h2> <p>威胁攻击者正日益滥用Discord webhooks作为开源软件包内部的隐蔽命令与控制（C2）通道，从而能够在无需搭建专用基础设施的情况下，秘密窃取敏感信息、主机遥测数据和开发者环境数据。 Socket公司的威胁研究团队记录了在npm、PyPI和RubyGems平台上活跃的此类滥用行为。在这些案例中，硬编码的Discord webhook URL充当了只写的“接收器”，通过HTTPS协议将数据虹吸到攻击者控制的频道。 由于webhook的请求数据类似于发往一个广泛允许的域名的普通JSON流量，这些操作常常能绕过边界过滤和基于签名的安全控制。</p>