NPM saugykla nustatė 17 kenkėjiškų paketų, kurie buvo platinami naudojant tipo squatting, t.y. su pavadinimų priskyrimu, panašiu į populiarių bibliotekų pavadinimus, tikintis, kad vartotojas padarys klaidą rinkdamas pavadinimą arba nepastebės skirtumų pasirinkdamas modulį iš sąrašo.
Paketai „discord-selfbot-v14“, „discord-lofy“, „discordsystem“ ir „discord-vilao“ naudojo modifikuotą teisėtos discord.js bibliotekos versiją, kuri suteikia funkcijas, skirtas sąveikai su „Discord“ API. Kenkėjiški komponentai buvo integruoti į vieną iš paketo failų ir apėmė maždaug 4000 XNUMX kodo eilučių, užmaskuotų naudojant kintamųjų vardų keitimą, eilučių šifravimą ir kodo formatavimo pažeidimus. Kodas nuskaitė vietinį FS, ieškodamas Discord žetonų, ir, jei buvo aptiktas, išsiuntė juos į užpuolikų serverį.
Teigiama, kad klaidų taisymo paketas ištaiso „Discord selfbot“ klaidas, tačiau jame buvo Trojos arklys, pavadintas „PirateStealer“, kuris vagia kredito kortelių numerius ir paskyras, susijusias su „Discord“. Kenkėjiškas komponentas buvo suaktyvintas įterpus JavaScript kodą į Discord klientą.
Prerequests-xcode pakete buvo Trojos arklys, skirtas organizuoti nuotolinę prieigą prie vartotojo sistemos, remiantis DiscordRAT Python programa.
Manoma, kad užpuolikams gali prireikti prieigos prie „Discord“ serverių, kad galėtų panaudoti „botnet“ valdymo taškus, kaip tarpinį serverį, kad galėtų atsisiųsti informaciją iš pažeistų sistemų, nuslėpti atakas, platinti kenkėjiškas programas „Discord“ naudotojams arba perparduoti aukščiausios kokybės paskyras.
Į paketus "wafer-bind", "wafer-autocomplete", "wafer-beacon", "wafer-caas", "wafer-toggle", "wafer-geolocation", "wafer-image", "wafer-form", "wafer-lightbox", "octavius-public" ir "mrg-message-broker" buvo kodas. siųsti aplinkos kintamųjų turinį, kuris, pavyzdžiui, gali apimti prieigos raktus, prieigos raktus ar slaptažodžius, į nuolatinio integravimo sistemas arba debesų aplinkas, pvz., AWS.
Šaltinis: opennet.ru