این پی ایم ریپوزٹری نے 17 بدنیتی پر مبنی پیکجوں کی نشاندہی کی جو ٹائپ اسکواٹنگ کا استعمال کرتے ہوئے تقسیم کیے گئے تھے، یعنی مشہور لائبریریوں کے ناموں سے ملتے جلتے ناموں کی تفویض کے ساتھ اس امید کے ساتھ کہ صارف نام ٹائپ کرتے وقت ٹائپنگ کرے گا یا فہرست سے ماڈیول کا انتخاب کرتے وقت فرق محسوس نہیں کرے گا۔
discord-selfbot-v14، discord-lofy، discordsystem، اور discord-vilao پیکیجز نے جائز discord.js لائبریری کا ایک ترمیم شدہ ورژن استعمال کیا ہے، جو Discord API کے ساتھ تعامل کے لیے فنکشن فراہم کرتا ہے۔ بدنیتی پر مبنی اجزاء کو پیکج فائلوں میں سے ایک میں ضم کیا گیا تھا اور اس میں کوڈ کی تقریباً 4000 لائنیں شامل تھیں، متغیر نام کی مینگلنگ، سٹرنگ انکرپشن، اور کوڈ فارمیٹنگ کی خلاف ورزیوں کا استعمال کرتے ہوئے مبہم۔ کوڈ نے مقامی FS کو Discord ٹوکنز کے لیے اسکین کیا اور، اگر پتہ چلا، تو انہیں حملہ آوروں کے سرور پر بھیج دیا۔
فکس ایرر پیکج کا دعویٰ کیا گیا تھا کہ وہ ڈسکارڈ سیلف بوٹ میں کیڑے ٹھیک کرے گا، لیکن اس میں PirateStealer نامی ٹروجن ایپ شامل ہے جو Discord سے وابستہ کریڈٹ کارڈ نمبر اور اکاؤنٹس چوری کرتی ہے۔ بدنیتی پر مبنی جزو کو Discord کلائنٹ میں JavaScript کوڈ ڈال کر چالو کیا گیا تھا۔
prerequests-xcode پیکیج میں DiscordRAT Python ایپلیکیشن کی بنیاد پر صارف کے سسٹم تک ریموٹ رسائی کو منظم کرنے کے لیے ایک ٹروجن شامل تھا۔
یہ خیال کیا جاتا ہے کہ حملہ آوروں کو بوٹ نیٹ کنٹرول پوائنٹس کی تعیناتی کے لیے ڈسکارڈ سرورز تک رسائی کی ضرورت ہو سکتی ہے، ایک پراکسی کے طور پر سمجھوتہ کرنے والے سسٹمز سے معلومات ڈاؤن لوڈ کرنے، حملوں کو چھپانے، Discord صارفین میں میلویئر تقسیم کرنے، یا پریمیم اکاؤنٹس کو دوبارہ فروخت کرنے کے لیے۔
پیکجز wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public اور mrg-message-broker میں کوڈ شامل تھا۔ ماحولیاتی متغیرات کے مواد کو بھیجنے کے لیے، جس میں، مثال کے طور پر، مسلسل انضمام کے نظام یا کلاؤڈ ماحول جیسے AWS میں رسائی کیز، ٹوکنز یا پاس ورڈ شامل ہو سکتے ہیں۔
ماخذ: opennet.ru