Repositori NPM mengenal pasti 17 pakej berniat jahat yang diedarkan menggunakan jenis mencangkung, i.e. dengan pemberian nama yang serupa dengan nama perpustakaan popular dengan jangkaan bahawa pengguna akan membuat kesilapan ketika menaip nama atau tidak akan melihat perbezaan apabila memilih modul daripada senarai.
Pakej discord-selfbot-v14, discord-lofy, discordsystem dan discord-vilao menggunakan versi diubah suai perpustakaan discord.js yang sah, yang menyediakan fungsi untuk berinteraksi dengan API Discord. Komponen berniat jahat telah disepadukan ke dalam salah satu fail pakej dan termasuk kira-kira 4000 baris kod, dikelirukan menggunakan pembolehubah nama, penyulitan rentetan dan pelanggaran pemformatan kod. Kod tersebut mengimbas FS tempatan untuk token Discord dan, jika dikesan, menghantarnya ke pelayan penyerang.
Pakej pembetulan ralat telah didakwa dapat membetulkan pepijat dalam Discord selfbot, tetapi termasuk aplikasi Trojan yang dipanggil PirateStealer yang mencuri nombor kad kredit dan akaun yang dikaitkan dengan Discord. Komponen berniat jahat telah diaktifkan dengan memasukkan kod JavaScript ke dalam klien Discord.
Pakej prerequests-xcode termasuk Trojan untuk mengatur akses jauh ke sistem pengguna, berdasarkan aplikasi DiscordRAT Python.
Adalah dipercayai bahawa penyerang mungkin memerlukan akses kepada pelayan Discord untuk menggunakan titik kawalan botnet, sebagai proksi untuk memuat turun maklumat daripada sistem yang terjejas, menutup serangan, mengedarkan perisian hasad di kalangan pengguna Discord atau menjual semula akaun premium.
Pakej wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public dan mrg-message-broker termasuk kod untuk menghantar kandungan pembolehubah persekitaran, yang, sebagai contoh, boleh termasuk kunci akses, token atau kata laluan kepada sistem penyepaduan berterusan atau persekitaran awan seperti AWS.
Sumber: opennet.ru