Úložiště NPM identifikovalo 17 škodlivých balíčků, které byly distribuovány pomocí typového squattingu, tzn. s přiřazením názvů podobných názvům populárních knihoven s očekáváním, že uživatel udělá při psaní názvu překlep nebo si nevšimne rozdílů při výběru modulu ze seznamu.
Balíčky discord-selfbot-v14, discord-lofy, discordsystem a discord-vilao používaly upravenou verzi legitimní knihovny discord.js, která poskytuje funkce pro interakci s rozhraním Discord API. Škodlivé komponenty byly integrovány do jednoho ze souborů balíčku a zahrnovaly přibližně 4000 XNUMX řádků kódu, zatemněných pomocí pozměňování názvů proměnných, šifrování řetězců a porušení formátování kódu. Kód naskenoval místní FS na tokeny Discord, a pokud je detekován, poslal je na server útočníků.
O balíčku oprav chyb se tvrdilo, že opravuje chyby v Discord selfbot, ale obsahoval trojskou aplikaci s názvem PirateStealer, která krade čísla kreditních karet a účty spojené s Discordem. Škodlivá komponenta byla aktivována vložením kódu JavaScript do klienta Discord.
Balíček prerequests-xcode obsahoval trojského koně pro organizaci vzdáleného přístupu k systému uživatele na základě aplikace DiscordRAT Python.
Předpokládá se, že útočníci mohou potřebovat přístup k serverům Discord, aby mohli nasadit kontrolní body botnetu, jako proxy pro stahování informací z kompromitovaných systémů, krytí útoků, distribuci malwaru mezi uživateli Discordu nebo prodej prémiových účtů.
Balíčky wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public a mrg-message-broker obsahovaly kód k odesílání obsahu proměnných prostředí, které by například mohly zahrnovat přístupové klíče, tokeny nebo hesla do systémů průběžné integrace nebo cloudových prostředí, jako je AWS.
Zdroj: opennet.ru