NPM repozitorij identificirao je 17 zlonamjernih paketa koji su distribuirani korištenjem tipa squatting, tj. uz dodjelu naziva sličnih nazivima popularnih knjižnica s očekivanjem da će korisnik napraviti tipfeler prilikom upisivanja naziva ili da neće primijetiti razlike prilikom odabira modula s popisa.
Paketi discord-selfbot-v14, discord-lofy, discordsystem i discord-vilao koristili su modificiranu verziju legitimne biblioteke discord.js, koja pruža funkcije za interakciju s Discord API-jem. Zlonamjerne komponente bile su integrirane u jednu od datoteka paketa i uključivale su približno 4000 redaka koda, zamagljenih korištenjem krivljenja imena varijabli, enkripcije nizova i kršenja formatiranja koda. Kod je skenirao lokalni FS u potrazi za Discord tokenima i, ako je otkriven, poslao ih na poslužitelj napadača.
Tvrdilo se da paket ispravljanja pogrešaka ispravlja greške u samobotu Discorda, ali uključuje trojansku aplikaciju pod nazivom PirateStealer koja krade brojeve kreditnih kartica i račune povezane s Discordom. Zlonamjerna komponenta aktivirana je umetanjem JavaScript koda u Discord klijent.
Paket prerequests-xcode uključivao je trojanca za organiziranje udaljenog pristupa korisnikovom sustavu, temeljen na aplikaciji DiscordRAT Python.
Vjeruje se da bi napadači mogli trebati pristup Discord poslužiteljima za postavljanje kontrolnih točaka botneta, kao proxy za preuzimanje informacija s kompromitiranih sustava, prikrivanje napada, distribuciju zlonamjernog softvera među korisnicima Discorda ili preprodaju premium računa.
Paketi wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public i mrg-message-broker uključivali su kod za slanje sadržaja varijabli okoline, koje bi, na primjer, mogle uključivati pristupne ključeve, tokene ili lozinke sustavima kontinuirane integracije ili okruženjima u oblaku kao što je AWS.
Izvor: opennet.ru