El repositori NPM va identificar 17 paquets maliciosos que es van distribuir utilitzant el tipus okupa, és a dir. amb l'assignació de noms semblants als noms de biblioteques populars amb l'esperança que l'usuari cometi una errada en escriure el nom o no noti les diferències en seleccionar un mòdul de la llista.
Els paquets discord-selfbot-v14, discord-lofy, discordsystem i discord-vilao utilitzaven una versió modificada de la biblioteca legítima discord.js, que proporciona funcions per interactuar amb l'API de Discord. Els components maliciosos es van integrar en un dels fitxers del paquet i incloïen aproximadament 4000 línies de codi, ofuscades mitjançant la modificació de noms de variables, el xifratge de cadenes i les violacions de format de codi. El codi va escanejar el sistema de fitxers local per detectar tokens de Discord i, si es detectaven, els enviava a servidor intrusos.
Es va afirmar que el paquet de correcció d'errors corregeix errors al selfbot de Discord, però incloïa una aplicació troiana anomenada PirateStealer que roba números de targetes de crèdit i comptes associats a Discord. El component maliciós es va activar inserint codi JavaScript al client de Discord.
El paquet prerequests-xcode incloïa un troià per organitzar l'accés remot al sistema de l'usuari, basat en l'aplicació DiscordRAT Python.
Es creu que els atacants poden necessitar accés als servidors de Discord per desplegar punts de control de botnets, com a servidor intermediari per descarregar informació de sistemes compromesos, tapar atacs, distribuir programari maliciós entre usuaris de Discord o revendre comptes premium.
Els paquets wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocalització, wafer-image, wafer-form, wafer-lightbox, octavius-public i mrg-message-broker inclouen el codi per enviar el contingut de variables d'entorn, que, per exemple, podrien incloure claus d'accés, testimonis o contrasenyes a sistemes d'integració contínua o entorns de núvol com AWS.
Font: opennet.ru
