У рэпазітары NPM выяўлена 17 шкоднасных пакетаў, якія распаўсюджваліся з выкарыстаннем тайпсквотынга, г.зн. з прызначэннем імёнаў падобных на назвы папулярных бібліятэк з разлікам на тое, што карыстач дапусціць памылку друку пры наборы імя або не заўважыць адрозненняў, выбіраючы модуль са спісу.
Пакеты discord-selfbot-v14, discord-lofy, discordsystem і discord-vilao выкарыстоўвалі мадыфікаваны варыянт легітымнай бібліятэкі discord.js, якая прадстаўляе функцыі для ўзаемадзеяння з API Discord. Шкоднасныя кампаненты былі інтэграваныя ў адзін з файлаў пакета і ўключалі каля 4000 радкоў кода, заблытанага з выкарыстаннем скажэння імёнаў зменных, шыфраванні радкоў і парушэнні фарматавання кода. Код сканаваў лакальную ФС на прадмет токенаў Discord і ў выпадку выяўлення адпраўляў іх на сервер зламыснікаў.
Пакет fix-error быў заяўлены як які выпраўляе памылкі ў Discord selfbot, але ўключаў траянскае прыкладанне PirateStealer, якое здзяйсняе крадзеж нумароў крэдытных карт і ўліковых запісаў, звязаных з Discord. Шкоднасны кампанент актываваўся праз падстаноўку JavaScript-кода ў кліент Discord.
Пакет prerequests-xcode уключаў траян для арганізацыі выдаленага доступу да сістэмы карыстача, заснаваны на Python-прыкладанні DiscordRAT.
Мяркуецца, што доступ да сервераў Discord мог запатрабавацца зламыснікам для разгортвання кропак кіравання ботнетам, у якасці проксі для загрузкі інфармацыі са ўзламаных сістэм, заблытванні слядоў пры здзяйсненні нападаў, распаўсюджванні шкоднаснага ПА сярод карыстачоў Discord або перапродажы прэміяльных акаўнтаў.
Пакеты wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public і mrg-message-broker ўключалі код для адпраўкі змесціва зменных асяроддзі, якія, напрыклад, маглі ўключаць ключы доступу, токены ці паролі да сістэм бесперапыннай інтэграцыі або хмарным асяроддзем, такім як AWS.
Крыніца: opennet.ru