De NPM-repository identificeerde 17 kwaadaardige pakketten die werden verspreid met behulp van type squatting, d.w.z. met de toewijzing van namen die lijken op de namen van populaire bibliotheken, in de verwachting dat de gebruiker een typefout zal maken bij het typen van de naam of de verschillen niet zal opmerken bij het selecteren van een module uit de lijst.
De pakketten discord-selfbot-v14, discord-lofy, discordsystem en discord-vilao gebruikten een aangepaste versie van de legitieme discord.js-bibliotheek, die functies biedt voor interactie met de Discord API. De kwaadaardige componenten waren geïntegreerd in een van de pakketbestanden en bevatten ongeveer 4000 regels code, versluierd door het mangelen van variabele namen, string-encryptie en schendingen van de codeformattering. De code scande de lokale FS op Discord-tokens en stuurde deze, indien gedetecteerd, naar de server van de aanvaller.
Er werd beweerd dat het fix-error-pakket bugs in Discord selfbot zou repareren, maar het bevatte een Trojaanse app genaamd PirateStealer die creditcardnummers en accounts steelt die aan Discord zijn gekoppeld. De kwaadaardige component werd geactiveerd door JavaScript-code in de Discord-client te plaatsen.
Het prerequests-xcode-pakket bevatte een Trojaans paard voor het organiseren van externe toegang tot het systeem van de gebruiker, gebaseerd op de DiscordRAT Python-applicatie.
Er wordt aangenomen dat aanvallers mogelijk toegang nodig hebben tot Discord-servers om botnetcontrolepunten in te zetten, als proxy om informatie van gecompromitteerde systemen te downloaden, aanvallen te verdoezelen, malware onder Discord-gebruikers te verspreiden of premium-accounts door te verkopen.
De pakketten wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public en mrg-message-broker bevatten de code om de inhoud van omgevingsvariabelen, zoals bijvoorbeeld toegangssleutels, tokens of wachtwoorden, naar continue integratiesystemen of cloudomgevingen zoals AWS te sturen.
Bron: opennet.ru