NPM-depotet identifiserte 17 ondsinnede pakker som ble distribuert ved hjelp av type squatting, dvs. med tildeling av navn som ligner pÄ navn pÄ populÊre biblioteker med forventning om at brukeren vil skrive feil nÄr han skriver navnet eller ikke vil legge merke til forskjellene nÄr de velger en modul fra listen.
Pakkene discord-selfbot-v14, discord-lofy, discordsystem og discord-vilao brukte en modifisert versjon av det legitime discord.js-biblioteket, som tilbyr funksjoner for samhandling med Discord API. De skadelige komponentene ble integrert i en av pakkens filer og inkluderte omtrent 4000 kodelinjer, tilslÞrt ved hjelp av variabelnavnmangling, strengkryptering og brudd pÄ kodeformatering. Koden skannet det lokale filsystemet for Discord-tokens og sendte dem, hvis de ble oppdaget, til serveren inntrengere.
Reparasjonsfeilpakken ble hevdet Ă„ fikse feil i Discord selfbot, men inkluderte en trojansk app kalt PirateStealer som stjeler kredittkortnumre og kontoer knyttet til Discord. Den skadelige komponenten ble aktivert ved Ă„ sette inn JavaScript-kode i Discord-klienten.
Prerequests-xcode-pakken inkluderte en trojaner for Ä organisere ekstern tilgang til brukerens system, basert pÄ DiscordRAT Python-applikasjonen.
Det antas at angripere kan trenge tilgang til Discord-servere for Ă„ distribuere botnett-kontrollpunkter, som en proxy for Ă„ laste ned informasjon fra kompromitterte systemer, dekke over angrep, distribuere skadelig programvare blant Discord-brukere eller videreselge premium-kontoer.
Pakkene wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public og mrg-message-broker inkluderte koden Ă„ sende innholdet i miljĂžvariabler, som for eksempel kan inkludere tilgangsnĂžkler, tokens eller passord til kontinuerlige integrasjonssystemer eller skymiljĂžer som AWS.
Kilde: opennet.ru
