Sautján illgjarn pakkar fundust í NPM geymslunni sem voru dreift með typosquatting — það er að segja með því að úthluta nöfnum svipuðum og vinsælum bókasöfnum í von um að notendur myndu gera innsláttarvillu þegar þeir slá inn nafnið eða myndu ekki taka eftir mismuninum þegar þeir velja einingu af lista.
Пакеты discord-selfbot-v14, discord-lofy, discordsystem и discord-vilao использовали модифицированный вариант легитимной библиотеки discord.js, предоставляющей функции для взаимодействия с API Discord. Вредоносные компоненты были интегрированы в один из файлов пакета и включали около 4000 строк кода, запутанного с использованием искажения имён переменных, шифрования строк и нарушения форматирования кода. Код сканировал локальную ФС на предмет токенов Discord и в случае выявления отправлял их на netþjóni innbrotsþjófar.
Pakkinn „fix-error“ var auglýstur sem leiðrétting á villum í Discord selfbot, en hann innihélt PirateStealer Trojan, sem stelur kreditkortanúmerum og Discord-tengdum reikningum. Illgjarni íhluturinn var virkjaður með því að sprauta JavaScript kóða inn í Discord biðlarann.
Pakkinn prerequests-xcode innihélt Trójuhest fyrir fjarlægan aðgang að kerfi notandans, byggt á Python forritinu DiscordRAT.
Talið er að árásarmenn hafi þurft aðgang að Discord-þjónum til að koma upp stjórnstöðvum fyrir botnet, starfa sem umboðsmenn til að hlaða niður upplýsingum úr kerfum sem hafa orðið fyrir áhrifum, hylja slóðir sínar meðan á árásum stóð, dreifa spilliforritum til Discord-notenda eða endurselja áskriftir að aukagjaldsreikningum.
Pakkarnir wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public og mrg-message-broker innihéldu kóða til að senda innihald umhverfisbreyta, sem gætu til dæmis innihaldið aðgangslykla, tákn eða lykilorð til samfelldra samþættingarkerfa eða skýjaumhverfa eins og AWS.
Heimild: opennet.ru
