NPM repozitorijum je identifikovao 17 zlonamernih paketa koji su distribuirani korišćenjem tipa squatting-a, tj. sa dodeljivanjem naziva sličnih nazivima popularnih biblioteka uz očekivanje da će korisnik napraviti grešku pri kucanju naziva ili neće uočiti razlike pri odabiru modula sa liste.
Discord-selfbot-v14, discord-lofy, discordsystem i discord-vilao paketi su koristili modifikovanu verziju legitimne biblioteke discord.js, koja pruža funkcije za interakciju sa Discord API-jem. Zlonamjerne komponente su integrirane u jednu od datoteka paketa i uključivale su otprilike 4000 linija koda, zamagljene korištenjem mijenjanja imena varijabli, enkripcije stringova i kršenja formatiranja koda. Kod je skenirao lokalni FS za Discord tokene i, ako je otkriven, poslao ih na server napadača.
Za paket za ispravku grešaka se tvrdilo da ispravlja greške u Discord selfbot-u, ali je uključivao trojansku aplikaciju pod nazivom PirateStealer koja krade brojeve kreditnih kartica i račune povezane sa Discord-om. Zlonamjerna komponenta je aktivirana umetanjem JavaScript koda u Discord klijent.
Prerequests-xcode paket je uključivao trojanca za organizaciju udaljenog pristupa korisnikovom sistemu, baziran na DiscordRAT Python aplikaciji.
Vjeruje se da bi napadačima mogli trebati pristup Discord serverima za postavljanje kontrolnih tačaka botnet-a, kao proxy za preuzimanje informacija sa kompromitovanih sistema, prikrivanje napada, distribuciju zlonamjernog softvera među Discord korisnicima ili preprodaju premium naloga.
Paketi wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public i mrg-message-broker uključivali su kod za slanje sadržaja varijabli okruženja, koje, na primjer, mogu uključivati pristupne ključeve, tokene ili lozinke u sisteme kontinuirane integracije ili okruženja u oblaku kao što je AWS.
izvor: opennet.ru