NPM-depotet identifiserte 17 ondsinnede pakker som ble distribuert ved hjelp av type squatting, dvs. med tildeling av navn som ligner på navn på populære biblioteker med forventning om at brukeren vil skrive feil når han skriver navnet eller ikke vil legge merke til forskjellene når de velger en modul fra listen.
Discord-selfbot-v14, discord-lofy, discordsystem og discord-vilao-pakkene brukte en modifisert versjon av det legitime discord.js-biblioteket, som gir funksjoner for å samhandle med Discord API. De skadelige komponentene ble integrert i en av pakkefilene og inkluderte omtrent 4000 linjer med kode, tilsløret ved bruk av variabel navnmangling, strengkryptering og kodeformateringsbrudd. Koden skannet den lokale FS for Discord-tokens og, hvis den ble oppdaget, sendte den til angripernes server.
Reparasjonsfeilpakken ble hevdet å fikse feil i Discord selfbot, men inkluderte en trojansk app kalt PirateStealer som stjeler kredittkortnumre og kontoer knyttet til Discord. Den skadelige komponenten ble aktivert ved å sette inn JavaScript-kode i Discord-klienten.
Prerequests-xcode-pakken inkluderte en trojaner for å organisere ekstern tilgang til brukerens system, basert på DiscordRAT Python-applikasjonen.
Det antas at angripere kan trenge tilgang til Discord-servere for å distribuere botnett-kontrollpunkter, som en proxy for å laste ned informasjon fra kompromitterte systemer, dekke over angrep, distribuere skadelig programvare blant Discord-brukere eller videreselge premium-kontoer.
Pakkene wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public og mrg-message-broker inkluderte koden å sende innholdet i miljøvariabler, som for eksempel kan inkludere tilgangsnøkler, tokens eller passord til kontinuerlige integrasjonssystemer eller skymiljøer som AWS.
Kilde: opennet.ru