17 חבילות זדוניות שזוהו במאגר NPM

מאגר ה-NPM זיהה 17 חבילות זדוניות שהופצו באמצעות סקווטינג מסוג, כלומר. עם הקצאת שמות דומים לשמות של ספריות פופולריות מתוך ציפייה שהמשתמש יבצע שגיאת הקלדה בעת הקלדת השם או לא יבחין בהבדלים בעת בחירת מודול מהרשימה.

החבילות discord-selfbot-v14, discord-lofy, discordsystem ו-discord-vilao השתמשו בגרסה שונה של ספריית discord.js הלגיטימית, המספקת פונקציות לאינטראקציה עם Discord API. הרכיבים הזדוניים שולבו באחד מקבצי החבילה וכללו כ-4000 שורות קוד, שהוסרו תוך שימוש בשינוי שמות משתנים, הצפנת מחרוזות והפרות עיצוב קוד. הקוד סרק את ה-FS המקומי עבור אסימוני Discord, ואם זוהה, שלח אותם לשרת התוקפים.

חבילת שגיאות התיקון נטענה לתקן באגים ב-Discord selfbot, אך כללה אפליקציה טרויאנית בשם PirateStealer שגונבת מספרי כרטיסי אשראי וחשבונות הקשורים לדיסקורד. הרכיב הזדוני הופעל על ידי הכנסת קוד JavaScript ללקוח Discord.

חבילת prerequests-xcode כללה סוס טרויאני לארגון גישה מרחוק למערכת של המשתמש, על בסיס אפליקציית DiscordRAT Python.

מאמינים שתוקפים עשויים להזדקק לגישה לשרתי Discord כדי לפרוס נקודות בקרה של רשתות בוט, כפרוקסי להורדת מידע ממערכות שנפגעו, לכסות התקפות, להפיץ תוכנות זדוניות בין משתמשי Discord או למכור מחדש חשבונות פרימיום.

החבילות wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public ו-mrg-message-broker כללו את הקוד לשלוח את התוכן של משתני סביבה, אשר, למשל, יכולים לכלול מפתחות גישה, אסימונים או סיסמאות למערכות אינטגרציה מתמשכות או לסביבות ענן כגון AWS.

מקור: OpenNet.ru