Il repository NPM ha identificato 17 pacchetti dannosi distribuiti utilizzando il type squatting, ovvero con l'assegnazione di nomi simili ai nomi delle librerie popolari con l'aspettativa che l'utente commetta un errore di battitura durante la digitazione del nome o non noterà le differenze quando seleziona un modulo dall'elenco.
I pacchetti discord-selfbot-v14, discord-lofy, discordsystem e discord-vilao utilizzavano una versione modificata della libreria legittima discord.js, che fornisce funzioni per interagire con l'API Discord. I componenti dannosi erano integrati in uno dei file del pacchetto e includevano circa 4000 righe di codice, offuscate utilizzando la manipolazione dei nomi delle variabili, la crittografia delle stringhe e le violazioni della formattazione del codice. Il codice ha scansionato l’FS locale alla ricerca di token Discord e, se rilevati, li ha inviati al server degli aggressori.
Si affermava che il pacchetto fix-error correggesse i bug nel selfbot Discord, ma includeva un'app trojan chiamata PirateStealer che ruba numeri di carte di credito e account associati a Discord. Il componente dannoso è stato attivato inserendo il codice JavaScript nel client Discord.
Il pacchetto prerequests-xcode conteneva un Trojan per organizzare l'accesso remoto al sistema dell'utente, basato sull'applicazione DiscordRAT Python.
Si ritiene che gli aggressori potrebbero aver bisogno di accedere ai server Discord per implementare punti di controllo botnet, come proxy per scaricare informazioni da sistemi compromessi, coprire attacchi, distribuire malware tra gli utenti Discord o rivendere account premium.
I pacchetti wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public e mrg-message-broker includevano il codice per inviare il contenuto di variabili di ambiente, che, ad esempio, potrebbero includere chiavi di accesso, token o password a sistemi di integrazione continua o ambienti cloud come AWS.
Fonte: opennet.ru