Repozytorium NPM zidentyfikowało 17 szkodliwych pakietów, które były dystrybuowane przy użyciu typu squatting, tj. z przypisaniem nazw podobnych do nazw popularnych bibliotek z oczekiwaniem, że użytkownik popełni literówkę przy wpisywaniu nazwy lub nie zauważy różnic przy wyborze modułu z listy.
Pakiety discord-selfbot-v14, discord-lofy, discordsystem i discord-vilao korzystały ze zmodyfikowanej wersji legalnej biblioteki discord.js, która zapewnia funkcje interakcji z interfejsem API Discord. Szkodliwe komponenty zostały zintegrowane z jednym z plików pakietu i zawierały około 4000 linii kodu zaciemnionego przy użyciu manipulowania nazwami zmiennych, szyfrowania ciągów znaków i naruszeń formatowania kodu. Kod skanował lokalny system plików w poszukiwaniu tokenów Discord i, jeśli został wykryty, wysyłał je na serwer atakujących.
Pakiet naprawczy miał naprawiać błędy w selfbocie Discord, ale zawierał aplikację trojańską o nazwie PirateStealer, która kradnie numery kart kredytowych i konta powiązane z Discordem. Szkodliwy komponent został aktywowany poprzez wstawienie kodu JavaScript do klienta Discord.
Pakiet prerequests-xcode zawierał trojana służącego do organizowania zdalnego dostępu do systemu użytkownika, w oparciu o aplikację DiscordRAT w języku Python.
Uważa się, że napastnicy mogą potrzebować dostępu do serwerów Discord w celu wdrożenia punktów kontrolnych botnetu, jako serwera proxy do pobierania informacji z zaatakowanych systemów, ukrywania ataków, dystrybucji złośliwego oprogramowania wśród użytkowników Discord lub odsprzedaży kont premium.
Pakiety wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public i mrg-message-broker zawierały kod do przesyłania zawartości zmiennych środowiskowych, które na przykład mogą obejmować klucze dostępu, tokeny czy hasła do systemów ciągłej integracji lub środowisk chmurowych takich jak AWS.
Źródło: opennet.ru