Úložisko NPM identifikovalo 17 škodlivých balíkov, ktoré boli distribuované pomocou typu squatting, t.j. s priraďovaním názvov podobných názvom populárnych knižníc s očakávaním, že používateľ urobí pri písaní názvu preklep alebo si nevšimne rozdiely pri výbere modulu zo zoznamu.
Balíky discord-selfbot-v14, discord-lofy, discordsystem a discord-vilao používali upravenú verziu legitímnej knižnice discord.js, ktorá poskytuje funkcie na interakciu s rozhraním Discord API. Škodlivé komponenty boli integrované do jedného zo súborov balíka a obsahovali približne 4 000 riadkov kódu, ktoré boli zahalené pomocou manipulácie s názvami premenných, šifrovania reťazcov a porušení formátovania kódu. Kód skenoval lokálny súborový systém a hľadal tokeny Discord a v prípade ich zistenia ich odosielal do... server votrelcov.
O balíku s opravou chýb sa tvrdilo, že opravuje chyby v samobotovi Discord, ale obsahoval aplikáciu trójskych koní s názvom PirateStealer, ktorá kradne čísla kreditných kariet a účty spojené s Discordom. Škodlivý komponent bol aktivovaný vložením kódu JavaScript do klienta Discord.
Balík prerequests-xcode obsahoval trójsky kôň na organizovanie vzdialeného prístupu k systému používateľa na základe aplikácie DiscordRAT Python.
Predpokladá sa, že útočníci môžu potrebovať prístup k serverom Discord na nasadenie kontrolných bodov botnetov ako proxy na sťahovanie informácií z napadnutých systémov, zakrývanie útokov, distribúciu malvéru medzi používateľov Discordu alebo predaj prémiových účtov.
Balíky wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public a mrg-message-broker obsahovali kód na odosielanie obsahu premenných prostredia, ktoré by napríklad mohli zahŕňať prístupové kľúče, tokeny alebo heslá do systémov nepretržitej integrácie alebo cloudových prostredí, ako je AWS.
Zdroj: opennet.ru
