Im NPM-Repository wurden 25 bösartige Pakete entdeckt, die mit Typ-Squatting verbreitet wurden, also mit der Zuweisung von Namen, die den Namen beliebter Bibliotheken Ă€hneln, in der Annahme, dass der Benutzer beim Eingeben des Namens einen Tippfehler macht oder die Unterschiede beim AuswĂ€hlen eines Moduls aus der Liste ĂŒbersieht.
- 17 Pakete beinhalteten bösartigen Code, um in der lokalen Dateisystemstruktur nach Discord-Token zu suchen und diese an den Server der Angreifer zu senden. In den meisten FĂ€llen wurden die bösartigen Ănderungen durch die Bereitstellung von modifizierten Varianten legitimer Bibliotheken wie discord.js und colors getarnt.
- node-colors-sync
- color-self
- color-self-2
- lemaaa
- adv-discord-utility
- tools-for-discord
- purple-bitch
- purple-bitchs
- noblox.js-addons
- discord-selfbot-tools
- discord.js-aployscript-v11
- discord.js-selfbot-aployscript
- discord.js-selfbot-aployed
- discord.js-discord-selfbot-v4
- colors-beta
- vera.js
- discord-protection
- 5 Pakete beinhalteten Code, um den Inhalt von Umgebungsvariablen zu senden, die beispielsweise ZugangsschlĂŒssel, Token oder Passwörter fĂŒr Systeme zur kontinuierlichen Integration oder Cloud-Umgebungen wie AWS enthalten konnten.
- wafer-text
- wafewafer-templater-countdown
- wafer-template
- wafer-darla
- mynewpkg
- 2 Pakete (markedjs, crypto-standarts) enthielten einen Trojaner, der den remote Zugriff auf das Benutzer-System ermöglichte und beliebigen Code in Python ausfĂŒhren konnte (Python remote code injector).
- 1 Paket (kakakaakaaa11aa) beinhaltete einen Backdoor fĂŒr die Fernsteuerung des Systems (Connectback shell).
Quelle: opennet.ru
