NPM-i hoidla tuvastas 17 pahatahtlikku paketti, mida levitati tüüp squatting’i abil, st. populaarsete raamatukogude nimedele sarnaste nimede omistamisega eeldusel, et kasutaja teeb nime tippimisel kirjavea või ei märka loendist mooduli valimisel erinevusi.
Discord-selfbot-v14, discord-lofy, discordsystem ja discord-vilao paketid kasutasid legitiimse discord.js teegi muudetud versiooni, mis pakub funktsioone Discord API-ga suhtlemiseks. Pahatahtlikud komponendid integreeriti ühte paketifailidest ja sisaldasid ligikaudu 4000 koodirida, mis olid hägustatud muutujate nimede segamise, stringide krüptimise ja koodivormingu rikkumiste abil. Kood kontrollis kohalikku FS-i Discordi žetoonide jaoks ja saatis need avastamise korral ründajate serverisse.
Väidetavalt parandas veaparanduspakett Discord selfbotis vigu, kuid sisaldas Trooja rakendust PirateStealer, mis varastab Discordiga seotud krediitkaardinumbreid ja kontosid. Pahatahtlik komponent aktiveeriti JavaScripti koodi sisestamisega Discordi klienti.
Prerequests-xcode pakett sisaldas Troojat kasutaja süsteemile kaugjuurdepääsu korraldamiseks, mis põhineb DiscordRAT Pythoni rakendusel.
Arvatakse, et ründajad võivad vajada juurdepääsu Discordi serveritele, et juurutada robotvõrgu juhtpunkte, puhverserverina teabe allalaadimiseks ohustatud süsteemidest, rünnakute varjamiseks, pahavara levitamiseks Discordi kasutajate vahel või esmaklassiliste kontode edasimüümiseks.
Paketid wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public ja mrg-message-broker sisaldasid koodi keskkonnamuutujate sisu, mis võivad sisaldada näiteks juurdepääsuvõtmeid, žetoone või paroole, saatmiseks pideva integreerimise süsteemidesse või pilvekeskkondadesse, nagu AWS.
Allikas: opennet.ru