Nododd ystorfa NPM 17 o becynnau maleisus a ddosbarthwyd gan ddefnyddio sgwatio math, h.y. gyda'r aseiniad o enwau tebyg i enwau llyfrgelloedd poblogaidd gyda'r disgwyl y bydd y defnyddiwr yn gwneud teip wrth deipio'r enw neu na fydd yn sylwi ar y gwahaniaethau wrth ddewis modiwl o'r rhestr.
Defnyddiodd y pecynnau discord-selfbot-v14, discord-lofy, discordsystem, a discord-vilao fersiwn wedi'i haddasu o'r llyfrgell discord.js gyfreithlon, sy'n darparu swyddogaethau ar gyfer rhyngweithio ag API Discord. Cafodd y cydrannau maleisus eu hintegreiddio i un o ffeiliau'r pecyn ac roeddent yn cynnwys tua 4000 o linellau o god, wedi'u drysu gan ddefnyddio newidynnau enw, amgryptio llinynnau, a thorri fformatio cod. Sganiodd y cod y system ffeiliau leol am docynnau Discord ac, os cafodd ei ganfod, eu hanfon at gweinydd tresmaswyr.
Honnwyd bod y pecyn gwall trwsio yn trwsio chwilod yn Discord selfbot, ond roedd yn cynnwys ap Trojan o'r enw PirateStealer sy'n dwyn rhifau cardiau credyd a chyfrifon sy'n gysylltiedig â Discord. Cafodd y gydran faleisus ei actifadu trwy fewnosod cod JavaScript i'r cleient Discord.
Roedd y pecyn prerequests-xcode yn cynnwys Trojan ar gyfer trefnu mynediad o bell i system y defnyddiwr, yn seiliedig ar raglen DiscordRAT Python.
Credir y gallai fod angen i ymosodwyr gael mynediad at weinyddion Discord i ddefnyddio pwyntiau rheoli botnet, fel dirprwy i lawrlwytho gwybodaeth o systemau dan fygythiad, cuddio ymosodiadau, dosbarthu malware ymhlith defnyddwyr Discord, neu ailwerthu cyfrifon premiwm.
Roedd y pecynnau afrlladen-rwymo, wafferi-awto-gwbl, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public a mrg-message-broker yn cynnwys y cod i anfon cynnwys newidynnau amgylchedd, a allai, er enghraifft, gynnwys allweddi mynediad, tocynnau neu gyfrineiriau i systemau integreiddio parhaus neu amgylcheddau cwmwl fel AWS.
Ffynhonnell: opennet.ru
