NPM deposu, tip işgali kullanılarak dağıtılan 17 kötü amaçlı paket tespit etti; Kullanıcının adı yazarken yazım hatası yapması veya listeden bir modül seçerken farklılıkları fark etmemesi beklentisiyle popüler kütüphanelerin adlarına benzer adların atanması.
discord-selfbot-v14, discord-lofy, discordsystem ve discord-vilao paketleri, Discord API'si ile etkileşime yönelik işlevler sağlayan meşru discord.js kitaplığının değiştirilmiş bir sürümünü kullanıyordu. Kötü amaçlı bileşenler paket dosyalarından birine entegre edilmiş ve değişken ad yönetimi, dize şifreleme ve kod biçimlendirme ihlalleri kullanılarak karartılmış yaklaşık 4000 satır kod içeriyordu. Kod, yerel FS'yi Discord tokenleri için taradı ve tespit edilirse bunları saldırganların sunucusuna gönderdi.
Hata düzeltme paketinin Discord selfbot'undaki hataları düzelttiği iddia edildi ancak kredi kartı numaralarını ve Discord ile ilişkili hesapları çalan PirateStealer adlı bir Truva atı uygulamasını da içeriyordu. Kötü amaçlı bileşen, Discord istemcisine JavaScript kodu eklenerek etkinleştirildi.
Prerequests-xcode paketi, DiscordRAT Python uygulamasını temel alarak kullanıcının sistemine uzaktan erişimi organize etmek için bir Truva atı içeriyordu.
Saldırganların, güvenliği ihlal edilmiş sistemlerden bilgi indirmek, saldırıları gizlemek, Discord kullanıcıları arasında kötü amaçlı yazılım dağıtmak veya premium hesapları yeniden satmak için bir proxy olarak botnet kontrol noktalarını dağıtmak için Discord sunucularına erişmeleri gerekebileceğine inanılıyor.
Wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-coğrafi konum, wafer-image, wafer-form, wafer-lightbox, octavius-public ve mrg-message-broker paketleri kodu içeriyordu örneğin erişim anahtarları, belirteçler veya parolalar içerebilecek ortam değişkenlerinin içeriğini sürekli entegrasyon sistemlerine veya AWS gibi bulut ortamlarına göndermek.
Kaynak: opennet.ru