NPM anbarı squatting tipindən istifadə edərək paylanmış 17 zərərli paketi müəyyən etdi, yəni. istifadəçinin adı yazarkən hərf səhvinə yol verəcəyi və ya siyahıdan modul seçərkən fərqləri görməyəcəyi gözləntiləri ilə məşhur kitabxanaların adlarına oxşar adların təyin edilməsi ilə.
Discord-selfbot-v14, discord-lofy, discordsystem və discord-vilao paketləri Discord API ilə qarşılıqlı əlaqə üçün funksiyaları təmin edən qanuni discord.js kitabxanasının dəyişdirilmiş versiyasından istifadə edib. Zərərli komponentlər paket fayllarından birinə inteqrasiya edilib və dəyişən adların dəyişdirilməsi, sətir şifrələməsi və kod formatı pozuntularından istifadə etməklə gizlədilən təxminən 4000 sətir kod daxil edilib. Kod Discord tokenləri üçün yerli FS-ni skan etdi və aşkar edilərsə, onları təcavüzkarların serverinə göndərdi.
Səhvləri düzəltmə paketinin Discord selfbot-dakı səhvləri düzəltmək üçün iddia edildi, lakin Discord ilə əlaqəli kredit kartı nömrələrini və hesabları oğurlayan PirateStealer adlı Trojan tətbiqini ehtiva etdi. Zərərli komponent JavaScript kodunu Discord müştərisinə daxil etməklə aktivləşdirilib.
Prerequests-xcode paketinə DiscordRAT Python tətbiqi əsasında istifadəçinin sisteminə uzaqdan girişin təşkili üçün Trojan daxil idi.
Güman edilir ki, təcavüzkarların botnet idarəetmə nöqtələrini yerləşdirmək üçün Discord serverlərinə giriş tələb oluna bilər, proksi kimi pozulmuş sistemlərdən məlumat yükləmək, hücumları ört-basdır etmək, Discord istifadəçiləri arasında zərərli proqramları yaymaq və ya premium hesabları satmaq.
Wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public və mrg-message-broker paketlərinə kod daxildir ətraf mühit dəyişənlərinin məzmununu, məsələn, giriş açarları, tokenlər və ya parolları davamlı inteqrasiya sistemlərinə və ya AWS kimi bulud mühitlərinə göndərmək.
Mənbə: opennet.ru