NPM-tietovarasto tunnisti 17 haitallista pakettia, joita jaettiin tyyppisquattingilla eli squattingilla. suositusten kirjastojen nimien kaltaisten nimien antamisella olettaen, että käyttäjä tekee kirjoitusvirheen kirjoittaessaan nimeä tai ei huomaa eroja valitessaan moduulia luettelosta.
Paketit discord-selfbot-v14, discord-lofy, discordsystem ja discord-vilao käyttivät muokattua versiota laillisesta discord.js-kirjastosta, joka tarjoaa toimintoja vuorovaikutukseen Discord API:n kanssa. Haitalliset komponentit integroitiin yhteen pakettitiedostoista, ja ne sisälsivät noin 4000 XNUMX koodiriviä, jotka hämärtyivät muuttujien nimien muokkauksella, merkkijonosalauksella ja koodin muotoilurikkomuksilla. Koodi etsi paikallisesta FS:stä Discord-tunnisteita ja lähetti ne hyökkääjän palvelimelle, jos se havaittiin.
Korjausvirhepaketin väitettiin korjaavan vikoja Discord-selfbotissa, mutta se sisälsi troijalaisen sovelluksen nimeltä PirateStealer, joka varastaa Discordiin liittyvät luottokorttien numerot ja tilit. Haitallinen komponentti aktivoitiin lisäämällä JavaScript-koodi Discord-asiakasohjelmaan.
Prerequests-xcode-paketti sisälsi Troijalaisen DiscordRAT Python -sovellukseen perustuvan etäkäytön järjestämiseen käyttäjän järjestelmään.
Uskotaan, että hyökkääjät saattavat tarvita pääsyn Discord-palvelimiin ottaakseen käyttöön botnet-ohjauspisteitä, välityspalvelimena tietojen lataamiseen vaarantuneista järjestelmistä, peittääkseen hyökkäyksiä, levittääkseen haittaohjelmia Discord-käyttäjien kesken tai myydäkseen edelleen premium-tilejä.
Paketit wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public ja mrg-message-broker sisälsivät koodin lähettää ympäristömuuttujien sisältöä, joka voi sisältää esimerkiksi pääsyavaimia, tunnuksia tai salasanoja jatkuvaan integrointijärjestelmiin tai pilviympäristöihin, kuten AWS.
Lähde: opennet.ru