NPM-lageret identificerede 17 ondsindede pakker, der blev distribueret ved hjælp af type squatting, dvs. med tildeling af navne svarende til navnene på populære biblioteker med forventning om, at brugeren vil lave en tastefejl, når han skriver navnet eller ikke vil bemærke forskellene, når han vælger et modul fra listen.
Discord-selfbot-v14-, discord-lofy-, discordsystem- og discord-vilao-pakkerne brugte en modificeret version af det legitime discord.js-bibliotek, som giver funktioner til at interagere med Discord API. De ondsindede komponenter blev integreret i en af pakkefilerne og inkluderede cirka 4000 linjer kode, sløret ved hjælp af variabel navnmangling, strengkryptering og kodeformateringsovertrædelser. Koden scannede den lokale FS for Discord-tokens og sendte dem, hvis den blev opdaget, til angriberens server.
Rettelsesfejl-pakken blev hævdet at rette fejl i Discord selfbot, men inkluderede en trojansk app kaldet PirateStealer, der stjæler kreditkortnumre og konti forbundet med Discord. Den ondsindede komponent blev aktiveret ved at indsætte JavaScript-kode i Discord-klienten.
Prerequests-xcode-pakken inkluderede en trojansk hest til at organisere fjernadgang til brugerens system, baseret på DiscordRAT Python-applikationen.
Det menes, at angribere muligvis har brug for adgang til Discord-servere for at implementere botnet-kontrolpunkter, som en proxy til at downloade information fra kompromitterede systemer, dække over angreb, distribuere malware blandt Discord-brugere eller videresælge premium-konti.
Pakkerne wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public og mrg-message-broker inkluderede koden at sende indholdet af miljøvariabler, som for eksempel kunne omfatte adgangsnøgler, tokens eller adgangskoder til kontinuerlige integrationssystemer eller cloud-miljøer som AWS.
Kilde: opennet.ru