NPM-förvaret identifierade 17 skadliga paket som distribuerades med hjälp av typ squatting, d.v.s. med tilldelning av namn som liknar namnen på populära bibliotek med förväntningen att användaren kommer att göra ett stavfel när han skriver namnet eller inte kommer att märka skillnaderna när han väljer en modul från listan.
Paketen discord-selfbot-v14, discord-lofy, discordsystem och discord-vilao använde en modifierad version av det legitima discord.js-biblioteket, som tillhandahåller funktioner för att interagera med Discord API. De skadliga komponenterna integrerades i en av paketfilerna och inkluderade cirka 4000 XNUMX rader kod, fördunklade med användning av variabelnamnmangling, strängkryptering och kodformateringsbrott. Koden skannade den lokala FS för Discord-tokens och, om den upptäcktes, skickade den till angriparnas server.
Fix-error-paketet påstods fixa buggar i Discord selfbot, men inkluderade en trojansk app som heter PirateStealer som stjäl kreditkortsnummer och konton associerade med Discord. Den skadliga komponenten aktiverades genom att infoga JavaScript-kod i Discord-klienten.
Prerequests-xcode-paketet inkluderade en trojan för att organisera fjärråtkomst till användarens system, baserat på DiscordRAT Python-applikationen.
Man tror att angripare kan behöva tillgång till Discord-servrar för att distribuera kontrollpunkter för botnät, som en proxy för att ladda ner information från komprometterade system, dölja attacker, distribuera skadlig programvara bland Discord-användare eller sälja premiumkonton.
Paketen wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public och mrg-message-broker inkluderade koden att skicka innehållet i miljövariabler, som till exempel kan innefatta åtkomstnycklar, tokens eller lösenord till kontinuerliga integrationssystem eller molnmiljöer som AWS.
Källa: opennet.ru