У репозиторії NPM виявлено 17 шкідливих пакетів, які поширювалися з використанням тайпсквотингу, тобто. з призначенням імен схожих на назви популярних бібліотек з розрахунком на те, що користувач допустить друкарську помилку при наборі імені або не помітить відмінностей, вибираючи модуль зі списку.
Пакети discord-selfbot-v14, discord-lofy, discordsystem та discord-vilao використовували модифікований варіант легітимної бібліотеки discord.js, що надає функції для взаємодії з API Discord. Шкідливі компоненти були інтегровані в один із файлів пакета та включали близько 4000 рядків коду, заплутаного з використанням спотворення імен змінних, шифрування рядків та порушення форматування коду. Код сканував локальну ФС щодо токенів Discord і у разі виявлення відправляв їх у сервер зловмисників.
Пакет fix-error був заявлений як виправляє помилки в Discord selfbot, але включав троянський додаток PirateStealer, що здійснює крадіжку номерів кредитних карток та облікових записів, пов'язаних з Discord. Шкідливий компонент активувався через підстановку JavaScript-коду клієнт Discord.
Пакет prerequests-xcode включав троян для організації дистанційного доступу до системи користувача, заснований на Python-додатку DiscordRAT.
Передбачається, що доступ до серверів Discord міг бути потрібним зловмисникам для розгортання точок управління ботнетом, як проксі для завантаження інформації зі зламаних систем, заплутування слідів при скоєнні атак, поширення шкідливого програмного забезпечення серед користувачів Discord або перепродажу преміальних акаунтів.
Пакети wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public і mrg-message-broker включали код для відправки вмісту змінних оточення, які, наприклад, могли включати ключі доступу, токени або паролі до систем безперервної інтеграції або хмарних оточень, таких як AWS.
Джерело: opennet.ru