Depozitul NPM a identificat 17 pachete rău intenționate care au fost distribuite folosind tipul squatting, i.e. cu atribuirea de nume asemănătoare cu numele bibliotecilor populare cu așteptarea ca utilizatorul să facă o greșeală la tastarea numelui sau să nu observe diferențele la selectarea unui modul din listă.
Pachetele discord-selfbot-v14, discord-lofy, discordsystem și discord-vilao au folosit o versiune modificată a bibliotecii legitime discord.js, care oferă funcții pentru interacțiunea cu API-ul Discord. Componentele rău intenționate au fost integrate într-unul dintre fișierele pachetului și includeau aproximativ 4000 de linii de cod, ofuscate prin modificarea numelor de variabile, criptarea șirurilor de caractere și încălcări ale formatării codului. Codul a scanat sistemul de fișiere local pentru token-uri Discord și, dacă erau detectate, le trimitea către serverului intruși.
Pachetul de remediere a erorilor a fost susținut pentru a remedia erori în Discord selfbot, dar a inclus o aplicație troiană numită PirateStealer care fură numerele de carduri de credit și conturile asociate cu Discord. Componenta rău intenționată a fost activată prin inserarea codului JavaScript în clientul Discord.
Pachetul prerequests-xcode includea un troian pentru organizarea accesului de la distanță la sistemul utilizatorului, bazat pe aplicația DiscordRAT Python.
Se crede că atacatorii ar putea avea nevoie de acces la serverele Discord pentru a implementa puncte de control al rețelelor botnet, ca proxy pentru a descărca informații din sisteme compromise, a acoperi atacurile, a distribui malware printre utilizatorii Discord sau a revinde conturi premium.
Pachetele wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocalizare, wafer-image, wafer-form, wafer-lightbox, octavius-public și mrg-message-broker au inclus codul pentru a trimite conținutul variabilelor de mediu, care, de exemplu, ar putea include chei de acces, jetoane sau parole către sisteme de integrare continuă sau medii cloud precum AWS.
Sursa: opennet.ru
