NPM geymslan benti á 17 illgjarna pakka sem var dreift með því að nota tegund hústöku, þ.e. með því að úthluta nöfnum sem líkjast nöfnum vinsælra bókasöfna með von um að notandinn geri innsláttarvillu þegar hann skrifar nafnið eða taki ekki eftir mismuninum þegar hann velur einingu af listanum.
Discord-selfbot-v14, discord-lofy, discordsystem og discord-vilao pakkarnir notuðu breytta útgáfu af lögmætu discord.js bókasafninu, sem býður upp á aðgerðir til að hafa samskipti við Discord API. Illgjarnir þættirnir voru samþættir í einni af pakkaskránum og innihéldu um það bil 4000 línur af kóða, huldar með því að nota breytilegt nafnabrot, dulkóðun strengja og brot á kóðasniði. Kóðinn skannaði staðbundið FS fyrir Discord tákn og, ef það fannst, sendi það á netþjón árásarmannsins.
Fullyrt var að lagfæringarvillupakkinn lagaði villur í Discord selfbot, en hann innihélt Trójuforrit sem heitir PirateStealer sem stelur kreditkortanúmerum og reikningum sem tengjast Discord. Illgjarn hluti var virkjaður með því að setja JavaScript kóða inn í Discord biðlarann.
Prerequests-xcode pakkinn innihélt Tróju til að skipuleggja fjaraðgang að kerfi notandans, byggt á DiscordRAT Python forritinu.
Talið er að árásarmenn gætu þurft aðgang að Discord netþjónum til að dreifa botnet stjórnstöðvum, sem umboð til að hlaða niður upplýsingum frá kerfum í hættu, hylja árásir, dreifa spilliforritum meðal Discord notenda eða endurselja úrvalsreikninga.
Pakkarnir oblátu-binding, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public og mrg-message-broker innihéldu kóðann að senda innihald umhverfisbreyta, sem til dæmis gætu falið í sér aðgangslykla, tákn eða lykilorð í samfelld samþættingarkerfi eða skýjaumhverfi eins og AWS.
Heimild: opennet.ru