พื้นที่เก็บข้อมูล NPM ระบุแพ็คเกจที่เป็นอันตราย 17 รายการที่ถูกแจกจ่ายโดยใช้ Type squatting เช่น โดยมีการกำหนดชื่อคล้ายกับชื่อของไลบรารียอดนิยมโดยคาดหวังว่าผู้ใช้จะพิมพ์ผิดเมื่อพิมพ์ชื่อหรือจะไม่สังเกตเห็นความแตกต่างเมื่อเลือกโมดูลจากรายการ
แพ็คเกจ discord-selfbot-v14, discord-lofy, discordsystem และ discord-vilao ใช้เวอร์ชันแก้ไขของไลบรารี discord.js ที่ถูกต้องตามกฎหมาย ซึ่งมีฟังก์ชันสำหรับการโต้ตอบกับ Discord API ส่วนประกอบที่เป็นอันตรายถูกรวมเข้าไว้ในไฟล์แพ็คเกจหนึ่งและมีโค้ดประมาณ 4000 บรรทัด ซึ่งสร้างความสับสนโดยใช้ชื่อตัวแปรที่เข้ารหัส การเข้ารหัสสตริง และการละเมิดการจัดรูปแบบโค้ด โค้ดจะสแกน FS ในเครื่องเพื่อหาโทเค็น Discord และส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีหากตรวจพบ
แพ็คเกจแก้ไขข้อผิดพลาดถูกอ้างว่าแก้ไขข้อบกพร่องใน Discord selfbot แต่มีแอปโทรจันชื่อ PirateStealer ที่ขโมยหมายเลขบัตรเครดิตและบัญชีที่เกี่ยวข้องกับ Discord องค์ประกอบที่เป็นอันตรายถูกเปิดใช้งานโดยการใส่โค้ด JavaScript ลงในไคลเอนต์ Discord
แพ็คเกจ prerequests-xcode มีโทรจันสำหรับจัดการการเข้าถึงระบบของผู้ใช้ระยะไกล โดยอิงตามแอปพลิเคชัน DiscordRAT Python
เชื่อกันว่าผู้โจมตีอาจจำเป็นต้องเข้าถึงเซิร์ฟเวอร์ Discord เพื่อปรับใช้จุดควบคุมบ็อตเน็ต เป็นพร็อกซีเพื่อดาวน์โหลดข้อมูลจากระบบที่ถูกบุกรุก ปกปิดการโจมตี กระจายมัลแวร์ไปยังผู้ใช้ Discord หรือขายต่อบัญชีพรีเมียม
แพ็คเกจ wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public และ mrg-message-broker รวมรหัสไว้ด้วย เพื่อส่งเนื้อหาของตัวแปรสภาพแวดล้อม ซึ่งอาจรวมถึงคีย์การเข้าถึง โทเค็น หรือรหัสผ่านไปยังระบบบูรณาการอย่างต่อเนื่องหรือสภาพแวดล้อมคลาวด์ เช่น AWS
ที่มา: opennet.ru