Le référentiel NPM a identifié 17 packages malveillants distribués via le type squatting, c'est-à-dire avec l'attribution de noms similaires aux noms de bibliothèques populaires dans l'espoir que l'utilisateur fera une faute de frappe lors de la saisie du nom ou ne remarquera pas les différences lors de la sélection d'un module dans la liste.
Les packages discord-selfbot-v14, discord-lofy, discordsystem et discord-vilao utilisaient une version modifiée de la bibliothèque légitime discord.js, qui fournit des fonctions pour interagir avec l'API Discord. Les composants malveillants ont été intégrés dans l'un des fichiers du package et comprenaient environ 4000 XNUMX lignes de code, obscurcies par la manipulation des noms de variables, le cryptage des chaînes et les violations de formatage du code. Le code a analysé le FS local à la recherche de jetons Discord et, s’il est détecté, les a envoyés au serveur des attaquants.
Le package de correction d'erreur était censé corriger des bugs dans Discord selfbot, mais incluait une application cheval de Troie appelée PirateStealer qui vole les numéros de carte de crédit et les comptes associés à Discord. Le composant malveillant a été activé en insérant du code JavaScript dans le client Discord.
Le package prerequests-xcode comprenait un cheval de Troie permettant d'organiser l'accès à distance au système de l'utilisateur, basé sur l'application Python DiscordRAT.
On pense que les attaquants pourraient avoir besoin d'accéder aux serveurs Discord pour déployer des points de contrôle de botnet, en tant que proxy pour télécharger des informations à partir de systèmes compromis, dissimuler des attaques, distribuer des logiciels malveillants parmi les utilisateurs de Discord ou revendre des comptes premium.
Les packages wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public et mrg-message-broker incluaient le code pour envoyer le contenu des variables d'environnement, qui, par exemple, pourraient inclure des clés d'accès, des jetons ou des mots de passe à des systèmes d'intégration continue ou à des environnements cloud tels qu'AWS.
Source: opennet.ru