O repositorio de NPM identificou 17 paquetes maliciosos que foron distribuídos usando tipo squatting, é dicir. coa asignación de nomes semellantes aos nomes das bibliotecas populares coa expectativa de que o usuario cometa un erro ao escribir o nome ou non notará as diferenzas ao seleccionar un módulo da lista.
Os paquetes discord-selfbot-v14, discord-lofy, discordsystem e discord-vilao utilizaron unha versión modificada da biblioteca lexítima discord.js, que ofrece funcións para interactuar coa API de Discord. Os compoñentes maliciosos integráronse nun dos ficheiros do paquete e incluían aproximadamente 4000 liñas de código, ofuscados mediante a manipulación de nomes de variables, o cifrado de cadeas e violacións de formato de código. O código escaneou o FS local en busca de tokens de Discord e, se se detectaba, enviounos ao servidor dos atacantes.
O paquete de corrección de erros reclamouse para corrixir erros no selfbot de Discord, pero incluía unha aplicación troiana chamada PirateStealer que rouba números de tarxetas de crédito e contas asociadas a Discord. O compoñente malicioso activouse ao inserir código JavaScript no cliente Discord.
O paquete prerequests-xcode incluía un troiano para organizar o acceso remoto ao sistema do usuario, baseado na aplicación DiscordRAT Python.
Crese que os atacantes poden necesitar acceso aos servidores de Discord para implementar puntos de control de botnets, como un proxy para descargar información de sistemas comprometidos, encubrir ataques, distribuír malware entre os usuarios de Discord ou revender contas premium.
Os paquetes wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-xeolocalización, wafer-image, wafer-form, wafer-lightbox, octavius-public e mrg-message-broker incluíron o código para enviar o contido das variables de ambiente, que, por exemplo, poderían incluír claves de acceso, tokens ou contrasinais a sistemas de integración continua ou entornos en nube como AWS.
Fonte: opennet.ru