مخزن NPM 17 بسته مخرب را شناسایی کرد که با استفاده از نوع اسکوات توزیع شده بودند. با تخصیص نام هایی مشابه نام کتابخانه های محبوب با این انتظار که کاربر هنگام تایپ نام اشتباه تایپی کند یا هنگام انتخاب ماژول از لیست متوجه تفاوت ها نشود.
بستههای discord-selfbot-v14، discord-lofy، discordsystem و discord-vilao از نسخه اصلاحشدهای از کتابخانه قانونی discord.js استفاده میکنند که عملکردهایی را برای تعامل با Discord API ارائه میدهد. اجزای مخرب در یکی از فایلهای بسته ادغام شدند و شامل تقریباً 4000 خط کد بودند که با استفاده از مخدوش کردن نام متغیر، رمزگذاری رشتهها و نقض قالببندی کد مبهم شدند. این کد FS محلی را برای توکنهای Discord اسکن کرد و در صورت شناسایی، آنها را به سرور مهاجمان ارسال کرد.
بسته رفع خطا ادعا شده بود که اشکالات خود را در Discord رفع می کند، اما شامل یک برنامه تروجان به نام PirateStealer بود که شماره کارت اعتباری و حساب های مرتبط با Discord را سرقت می کرد. مؤلفه مخرب با قرار دادن کد جاوا اسکریپت در کلاینت Discord فعال شد.
بسته prerequests-xcode شامل یک تروجان برای سازماندهی دسترسی از راه دور به سیستم کاربر، بر اساس برنامه DiscordRAT Python بود.
اعتقاد بر این است که مهاجمان ممکن است برای استقرار نقاط کنترل بات نت، به عنوان یک پروکسی برای دانلود اطلاعات از سیستم های در معرض خطر، پنهان کردن حملات، توزیع بدافزار بین کاربران Discord یا فروش مجدد حساب های پریمیوم، نیاز به دسترسی به سرورهای Discord داشته باشند.
بسته های wafer-bind، wafer-autocomplete، wafer-beacon، wafer-caas، wafer-toggle، wafer-geolocation، wafer-image، wafer-form، wafer-lightbox، octavius-public و mrg-message-broker شامل کد هستند. برای ارسال محتویات متغیرهای محیطی، که به عنوان مثال، می تواند شامل کلیدهای دسترسی، نشانه ها یا رمزهای عبور به سیستم های یکپارچه سازی پیوسته یا محیط های ابری مانند AWS باشد.
منبع: opennet.ru