Repositori NPM mengidentifikasi 17 paket berbahaya yang didistribusikan menggunakan tipe squatting, yaitu. dengan pemberian nama yang mirip dengan nama perpustakaan populer dengan harapan pengguna akan salah ketik saat mengetik nama atau tidak melihat perbedaannya saat memilih modul dari daftar.
Paket discord-selfbot-v14, discord-lofy, discordsystem, dan discord-vilao menggunakan versi modifikasi dari perpustakaan discord.js yang sah, yang menyediakan fungsi untuk berinteraksi dengan API Discord. Komponen berbahaya diintegrasikan ke dalam salah satu file paket dan mencakup sekitar 4000 baris kode, dikaburkan menggunakan kerusakan nama variabel, enkripsi string, dan pelanggaran format kode. Kode tersebut memindai FS lokal untuk mencari token Discord dan, jika terdeteksi, mengirimkannya ke server penyerang.
Paket perbaikan kesalahan diklaim memperbaiki bug di selfbot Discord, tetapi menyertakan aplikasi Trojan bernama PirateStealer yang mencuri nomor kartu kredit dan akun yang terkait dengan Discord. Komponen berbahaya diaktifkan dengan memasukkan kode JavaScript ke klien Discord.
Paket prerequests-xcode menyertakan Trojan untuk mengatur akses jarak jauh ke sistem pengguna, berdasarkan aplikasi DiscordRAT Python.
Dipercaya bahwa penyerang mungkin memerlukan akses ke server Discord untuk menyebarkan titik kontrol botnet, sebagai proxy untuk mengunduh informasi dari sistem yang disusupi, menutupi serangan, mendistribusikan malware di antara pengguna Discord, atau menjual kembali akun premium.
Paket wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public dan mrg-message-broker termasuk kodenya untuk mengirim konten variabel lingkungan, yang, misalnya, dapat mencakup kunci akses, token, atau kata sandi ke sistem integrasi berkelanjutan atau lingkungan cloud seperti AWS.
Sumber: opennet.ru