NPM-arkistosta löydettiin seitsemäntoista haitallista pakettia, jotka levitettiin typosquatting-menetelmällä – eli antamalla niille suosittujen kirjastojen nimiä muistuttavia nimiä siinä toivossa, että käyttäjät tekisivät kirjoitusvirheen kirjoittaessaan nimeä tai eivät huomaisi eroa valitessaan moduulia luettelosta.
Пакеты discord-selfbot-v14, discord-lofy, discordsystem и discord-vilao использовали модифицированный вариант легитимной библиотеки discord.js, предоставляющей функции для взаимодействия с API Discord. Вредоносные компоненты были интегрированы в один из файлов пакета и включали около 4000 строк кода, запутанного с использованием искажения имён переменных, шифрования строк и нарушения форматирования кода. Код сканировал локальную ФС на предмет токенов Discord и в случае выявления отправлял их на palvelin tunkeilijat.
Korjauspaketti mainostettiin korjaavan Discord-selfbotin virheitä, mutta se sisälsi PirateStealer-troijalaisen, joka varastaa luottokorttinumeroita ja Discord-tilejä. Haitallinen komponentti aktivoitiin lisäämällä JavaScript-koodia Discord-asiakasohjelmaan.
Prerequests-xcode-paketti sisälsi troijalaisen käyttäjän järjestelmän etäkäyttöön, joka perustui Python-sovellukseen DiscordRAT.
Hyökkääjien uskotaan tarvinneen pääsyn Discord-palvelimille bottiverkkojen komento- ja ohjauspisteiden käyttöönottoon, välityspalvelimina toimimiseen tiedon lataamiseksi vaarantuneista järjestelmistä, jälkien peittämiseen hyökkäysten aikana, haittaohjelmien levittämiseen Discord-käyttäjille tai premium-tilien jälleenmyyntiin.
Wafer-bind-, wafer-autocomplete-, wafer-beacon-, wafer-caas-, wafer-toggle-, wafer-geolocation-, wafer-image-, wafer-form-, wafer-lightbox-, octavius-public- ja mrg-message-broker-paketit sisälsivät koodia ympäristömuuttujien sisällön lähettämiseen, joka voi sisältää esimerkiksi käyttöoikeusavaimia, tokeneita tai salasanoja jatkuvan integraation järjestelmiin tai pilviympäristöihin, kuten AWS:ään.
Lähde: opennet.ru
