Das NPM-Repository identifizierte 17 Schadpakete, die mithilfe von Type Squatting verbreitet wurden, d. h. mit der Vergabe von Namen, die den Namen beliebter Bibliotheken ähneln, mit der Erwartung, dass der Benutzer beim Eingeben des Namens einen Tippfehler macht oder die Unterschiede bei der Auswahl eines Moduls aus der Liste nicht bemerkt.
Die Pakete „discord-selfbot-v14“, „discord-lofy“, „discordsystem“ und „discord-vilao“ verwendeten eine modifizierte Version der legitimen Bibliothek „discord.js“, die Funktionen für die Interaktion mit der Discord-API bereitstellt. Die bösartigen Komponenten wurden in eine der Paketdateien integriert und umfassten etwa 4000 Codezeilen, die durch Verstümmelung von Variablennamen, Zeichenfolgenverschlüsselung und Verstöße gegen die Codeformatierung verschleiert wurden. Der Code durchsuchte den lokalen FS nach Discord-Tokens und sendete diese, falls erkannt, an den Server der Angreifer.
Das Fix-Error-Paket sollte angeblich Fehler im Discord-Selfbot beheben, enthielt jedoch eine Trojaner-App namens PirateStealer, die Kreditkartennummern und mit Discord verknüpfte Konten stiehlt. Die Schadkomponente wurde durch das Einfügen von JavaScript-Code in den Discord-Client aktiviert.
Das Paket prerequests-xcode enthielt einen Trojaner zur Organisation des Fernzugriffs auf das System des Benutzers, basierend auf der Python-Anwendung DiscordRAT.
Es wird angenommen, dass Angreifer möglicherweise Zugriff auf Discord-Server benötigen, um Botnet-Kontrollpunkte einzurichten, als Proxy zum Herunterladen von Informationen von kompromittierten Systemen, zur Vertuschung von Angriffen, zur Verbreitung von Malware unter Discord-Benutzern oder zum Weiterverkauf von Premium-Konten.
Die Pakete Wafer-Bind, Wafer-Autocomplete, Wafer-Beacon, Wafer-Caas, Wafer-Toggle, Wafer-Geolocation, Wafer-Image, Wafer-Form, Wafer-Lightbox, Octavius-Public und Mrg-Message-Broker enthielten den Code um den Inhalt von Umgebungsvariablen, zu denen beispielsweise Zugriffsschlüssel, Token oder Passwörter gehören könnten, an kontinuierliche Integrationssysteme oder Cloud-Umgebungen wie AWS zu senden.
Source: opennet.ru