Az NPM repository 17 rosszindulatú csomagot azonosított, amelyeket a type squatting használatával terjesztettek, azaz. a népszerű könyvtárak nevéhez hasonló elnevezésekkel, azzal a feltétellel, hogy a felhasználó elgépelést ejt a név beírása közben, vagy nem veszi észre a különbségeket, amikor kiválaszt egy modult a listából.
A discord-selfbot-v14, discord-lofy, discordsystem és discord-vilao csomagok a legitim discord.js könyvtár módosított változatát használták, amely funkciókat biztosít a Discord API-val való interakcióhoz. A rosszindulatú összetevőket az egyik csomagfájlba integrálták, és hozzávetőleg 4000 sornyi kódot tartalmaztak, amelyeket változónév-megzavarással, karakterlánc-titkosítással és kódformázási megsértésekkel homályosítottak el. A kód átvizsgálta a helyi FS-t Discord tokenek után kutatva, és ha észlelték, elküldte azokat a támadók szerverére.
A hibajavító csomagról azt állították, hogy kijavítja a Discord selfbot hibáit, de tartalmazott egy PirateStealer nevű trójai alkalmazást, amely ellopja a Discordhoz kapcsolódó hitelkártyaszámokat és fiókokat. A rosszindulatú összetevő aktiválása JavaScript kód beszúrásával történt a Discord kliensbe.
A prerequests-xcode csomag tartalmazott egy trójai programot, amely a DiscordRAT Python alkalmazáson alapuló távoli hozzáférést biztosít a felhasználó rendszeréhez.
Úgy gondolják, hogy a támadóknak hozzáférésre van szükségük a Discord-kiszolgálókhoz a botnet vezérlőpontjainak telepítéséhez, proxyként a feltört rendszerekről való információk letöltéséhez, a támadások elfedéséhez, a rosszindulatú programok Discord-felhasználók közötti terjesztéséhez vagy a prémium fiókok viszonteladásához.
A wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public és mrg-message-broker csomagok tartalmazták a kódot. környezeti változók tartalmának elküldésére, amelyek például hozzáférési kulcsokat, tokeneket vagy jelszavakat tartalmazhatnak, folyamatos integrációs rendszereknek vagy felhőkörnyezeteknek, mint például az AWS.
Forrás: opennet.ru