Dezessete pacotes maliciosos foram descobertos no repositório NPM, distribuídos por meio de typosquatting — ou seja, atribuindo nomes semelhantes aos de bibliotecas populares na esperança de que os usuários cometessem um erro de digitação ao digitar o nome ou não percebessem a diferença ao selecionar um módulo em uma lista.
Пакеты discord-selfbot-v14, discord-lofy, discordsystem и discord-vilao использовали модифицированный вариант легитимной библиотеки discord.js, предоставляющей функции для взаимодействия с API Discord. Вредоносные компоненты были интегрированы в один из файлов пакета и включали около 4000 строк кода, запутанного с использованием искажения имён переменных, шифрования строк и нарушения форматирования кода. Код сканировал локальную ФС на предмет токенов Discord и в случае выявления отправлял их на servidor intrusos.
O pacote de correção de erros foi anunciado como uma solução para problemas no Discord selfbot, mas incluía o Trojan PirateStealer, que rouba números de cartão de crédito e contas relacionadas ao Discord. O componente malicioso foi ativado por meio da injeção de código JavaScript no cliente Discord.
O pacote prerequests-xcode incluía um Trojan para acesso remoto ao sistema do usuário, baseado no aplicativo Python DiscordRAT.
Acredita-se que os atacantes possam ter precisado de acesso aos servidores do Discord para implantar pontos de comando e controle de botnets, atuar como proxies para baixar informações de sistemas comprometidos, ocultar seus rastros durante os ataques, distribuir malware para usuários do Discord ou revender contas premium.
Os pacotes wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public e mrg-message-broker incluíam código para enviar o conteúdo de variáveis de ambiente, que poderiam incluir, por exemplo, chaves de acesso, tokens ou senhas para sistemas de integração contínua ou ambientes de nuvem como a AWS.
Fonte: opennet.ru
