حدد مستودع NPM 17 حزمة ضارة تم توزيعها باستخدام نوع القرفصاء، أي. مع تعيين أسماء مشابهة لأسماء المكتبات الشائعة مع توقع قيام المستخدم بإجراء خطأ مطبعي عند كتابة الاسم أو عدم ملاحظة الاختلافات عند اختيار وحدة نمطية من القائمة.
استخدمت حزم discord-selfbot-v14 وdiscord-lofy وdiscordsystem وdiscord-vilao نسخة معدلة من مكتبة discord.js الشرعية، والتي توفر وظائف للتفاعل مع Discord API. تم دمج المكونات الضارة في أحد ملفات الحزمة وتضمنت ما يقرب من 4000 سطر من التعليمات البرمجية، تم التعتيم عليها باستخدام تشويه أسماء المتغيرات، وتشفير السلسلة، وانتهاكات تنسيق التعليمات البرمجية. قام الرمز بفحص FS المحلي بحثًا عن رموز Discord المميزة، وإذا تم اكتشافه، أرسلها إلى خادم المهاجمين.
يُزعم أن حزمة إصلاح الأخطاء تعمل على إصلاح الأخطاء في Discord selfbot، ولكنها تتضمن تطبيق حصان طروادة يسمى PirateStealer الذي يسرق أرقام بطاقات الائتمان والحسابات المرتبطة بـ Discord. تم تنشيط المكون الضار عن طريق إدخال كود JavaScript في عميل Discord.
تتضمن حزمة الطلبات المسبقة-xcode حصان طروادة لتنظيم الوصول عن بعد إلى نظام المستخدم، استنادًا إلى تطبيق DiscordRAT Python.
من المعتقد أن المهاجمين قد يحتاجون إلى الوصول إلى خوادم Discord لنشر نقاط التحكم في الروبوتات، كوكيل لتنزيل المعلومات من الأنظمة المخترقة، أو التستر على الهجمات، أو توزيع البرامج الضارة بين مستخدمي Discord، أو إعادة بيع الحسابات المتميزة.
الحزم wafer-bind، wafer-autocomplete، wafer-beacon، wafer-caas، wafer-toggle، wafer-geolocation، wafer-image، wafer-form، wafer-lightbox، octavius-public وmrg-message-broker تتضمن الكود لإرسال محتويات متغيرات البيئة، والتي، على سبيل المثال، يمكن أن تتضمن مفاتيح الوصول أو الرموز المميزة أو كلمات المرور إلى أنظمة التكامل المستمر أو البيئات السحابية مثل AWS.
المصدر: opennet.ru