NPM 存储库识别出 17 个使用类型抢注方式分发的恶意软件包,即分配与流行库的名称类似的名称,并期望用户在键入名称时会出现拼写错误,或者在从列表中选择模块时不会注意到差异。
Discord-selfbot-v14、discord-lofy、discordsystem 和 Discord-vilao 软件包使用合法的 Discord.js 库的修改版本,该库提供与 Discord API 交互的功能。 恶意组件被集成到其中一个包文件中,包含大约 4000 行代码,并使用变量名修改、字符串加密和代码格式违规进行混淆。 该代码扫描本地 FS 中的 Discord 令牌,如果检测到,则将其发送到攻击者的服务器。
该修复错误包据称可以修复 Discord 自助机器人中的错误,但其中包含一个名为 PirateStealer 的木马应用程序,该应用程序会窃取与 Discord 相关的信用卡号和帐户。 该恶意组件是通过将 JavaScript 代码插入 Discord 客户端来激活的。
prerequests-xcode 包包含一个基于 DiscordRAT Python 应用程序的木马,用于组织对用户系统的远程访问。
据信,攻击者可能需要访问 Discord 服务器来部署僵尸网络控制点,作为代理从受感染的系统下载信息、掩盖攻击、在 Discord 用户之间分发恶意软件或转售高级帐户。
包 Wafer-bind、wafer-autocomplete、wafer-beacon、wafer-caas、wafer-toggle、wafer-geolocation、wafer-image、wafer-form、wafer-lightbox、octavius-public 和 mrg-message-broker 包含代码发送环境变量的内容,例如,可以包括持续集成系统或 AWS 等云环境的访问密钥、令牌或密码。
来源: opennet.ru