Το αποθετήριο NPM εντόπισε 17 κακόβουλα πακέτα που διανεμήθηκαν με χρήση squatting τύπου, δηλ. με την ανάθεση ονομάτων παρόμοια με τα ονόματα δημοφιλών βιβλιοθηκών με την προσδοκία ότι ο χρήστης θα κάνει τυπογραφικό λάθος κατά την πληκτρολόγηση του ονόματος ή δεν θα παρατηρήσει τις διαφορές κατά την επιλογή μιας ενότητας από τη λίστα.
Τα πακέτα discord-selfbot-v14, discord-lofy, discordsystem και discord-vilao χρησιμοποιούσαν μια τροποποιημένη έκδοση της νόμιμης βιβλιοθήκης discord.js, η οποία παρέχει λειτουργίες για αλληλεπίδραση με το Discord API. Τα κακόβουλα στοιχεία ενσωματώθηκαν σε ένα από τα αρχεία του πακέτου και περιελάμβαναν περίπου 4000 γραμμές κώδικα, που επισκιάστηκαν χρησιμοποιώντας παραβιάσεις ονομάτων μεταβλητής, κρυπτογράφηση συμβολοσειρών και παραβιάσεις μορφοποίησης κώδικα. Ο κώδικας σάρωνε το τοπικό FS για διακριτικά Discord και, εάν εντοπιστεί, τα έστειλε στον διακομιστή των εισβολέων.
Το πακέτο επιδιόρθωσης σφαλμάτων υποστηρίχθηκε ότι διορθώνει σφάλματα στο Discord selfbot, αλλά περιελάμβανε μια Trojan εφαρμογή που ονομάζεται PirateStealer που κλέβει αριθμούς πιστωτικών καρτών και λογαριασμούς που σχετίζονται με το Discord. Το κακόβουλο στοιχείο ενεργοποιήθηκε με την εισαγωγή κώδικα JavaScript στον πελάτη Discord.
Το πακέτο prerequests-xcode περιελάμβανε έναν Trojan για την οργάνωση της απομακρυσμένης πρόσβασης στο σύστημα του χρήστη, με βάση την εφαρμογή DiscordRAT Python.
Πιστεύεται ότι οι εισβολείς μπορεί να χρειαστούν πρόσβαση στους διακομιστές Discord για να αναπτύξουν σημεία ελέγχου botnet, ως διακομιστή μεσολάβησης για τη λήψη πληροφοριών από παραβιασμένα συστήματα, τη συγκάλυψη επιθέσεων, τη διανομή κακόβουλου λογισμικού μεταξύ των χρηστών του Discord ή τη μεταπώληση λογαριασμών premium.
Τα πακέτα wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public και mrg-message-broker περιλάμβαναν τον κωδικό για να στείλετε τα περιεχόμενα των μεταβλητών περιβάλλοντος, οι οποίες, για παράδειγμα, θα μπορούσαν να περιλαμβάνουν κλειδιά πρόσβασης, διακριτικά ή κωδικούς πρόσβασης σε συστήματα συνεχούς ενοποίησης ή περιβάλλοντα cloud όπως το AWS.
Πηγή: opennet.ru