NPM repozitorijs identificēja 17 ļaunprātīgas pakotnes, kas tika izplatītas, izmantojot tipa squatting, t.i. ar nosaukumu piešķiršanu, kas līdzinās populāru bibliotēku nosaukumiem, cerot, ka lietotājs, ierakstot nosaukumu, pieļaus drukas kļūdu vai nepamanīs atšķirības, izvēloties moduli no saraksta.
Pakotnēs discord-selfbot-v14, discord-lofy, discordsystem un discord-vilao tika izmantota likumīgās discord.js bibliotēkas modificēta versija, kas nodrošina funkcijas mijiedarbībai ar Discord API. Ļaunprātīgie komponenti tika integrēti vienā no pakotnes failiem un ietvēra aptuveni 4000 koda rindiņu, kas tika apslēptas, izmantojot mainīgo nosaukumu sajaukšanu, virkņu šifrēšanu un koda formatēšanas pārkāpumus. Kods skenēja vietējo FS, lai atrastu Discord marķierus, un, ja tika atklāts, nosūtīja tos uzbrucēja serverim.
Tika apgalvots, ka kļūdu labojumu pakotne novērš Discord selfbot kļūdas, taču tajā bija iekļauta Trojas lietotne PirateStealer, kas nozog ar Discord saistītos kredītkaršu numurus un kontus. Ļaunprātīgais komponents tika aktivizēts, Discord klientā ievietojot JavaScript kodu.
Prerequests-xcode pakotnē bija iekļauts Trojas zirgs attālās piekļuves organizēšanai lietotāja sistēmai, pamatojoties uz DiscordRAT Python lietojumprogrammu.
Tiek uzskatīts, ka uzbrucējiem var būt nepieciešama piekļuve Discord serveriem, lai izvietotu robottīkla kontroles punktus, kā starpniekserveri, lai lejupielādētu informāciju no apdraudētām sistēmām, slēptu uzbrukumus, izplatītu ļaunprātīgu programmatūru starp Discord lietotājiem vai tālākpārdotu premium kontus.
Pakotnēs wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public un mrg-message-broker ir iekļauts kods lai nosūtītu vides mainīgo saturu, kas, piemēram, varētu ietvert piekļuves atslēgas, marķierus vai paroles, nepārtrauktas integrācijas sistēmām vai mākoņa vidēm, piemēram, AWS.
Avots: opennet.ru