מאגר ה-NPM זיהה 17 חבילות זדוניות שהופצו באמצעות סקווטינג מסוג, כלומר. עם הקצאת שמות דומים לשמות של ספריות פופולריות מתוך ציפייה שהמשתמש יבצע שגיאת הקלדה בעת הקלדת השם או לא יבחין בהבדלים בעת בחירת מודול מהרשימה.
חבילות discord-selfbot-v14, discord-lofy, discordsystem ו-discord-vilao השתמשו בגרסה שונה של ספריית discord.js הלגיטימית, המספקת פונקציות לאינטראקציה עם ממשק ה-API של Discord. הרכיבים הזדוניים שולבו באחד מקבצי החבילה וכללו כ-4000 שורות קוד, שטושטשו באמצעות שינוי שם משתנה, הצפנת מחרוזות והפרות עיצוב קוד. הקוד סרק את מערכת הקבצים המקומית אחר אסימוני Discord, ואם זוהו, שלח אותם אל... שרת פולשים.
חבילת שגיאות התיקון נטענה לתקן באגים ב-Discord selfbot, אך כללה אפליקציה טרויאנית בשם PirateStealer שגונבת מספרי כרטיסי אשראי וחשבונות הקשורים לדיסקורד. הרכיב הזדוני הופעל על ידי הכנסת קוד JavaScript ללקוח Discord.
חבילת prerequests-xcode כללה סוס טרויאני לארגון גישה מרחוק למערכת של המשתמש, על בסיס אפליקציית DiscordRAT Python.
מאמינים שתוקפים עשויים להזדקק לגישה לשרתי Discord כדי לפרוס נקודות בקרה של רשתות בוט, כפרוקסי להורדת מידע ממערכות שנפגעו, לכסות התקפות, להפיץ תוכנות זדוניות בין משתמשי Discord או למכור מחדש חשבונות פרימיום.
החבילות wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public ו-mrg-message-broker כללו את הקוד לשלוח את התוכן של משתני סביבה, אשר, למשל, יכולים לכלול מפתחות גישה, אסימונים או סיסמאות למערכות אינטגרציה מתמשכות או לסביבות ענן כגון AWS.
מקור: OpenNet.ru
