Исследователи обнаружили еще 17 вредоносных пакетов в репозитории npm. На этот раз малварь похищала учетные данные, токены, другую информацию о серверах Discord и не только. Токены действуют как аутентификационные cookie и позволяют захватить чужую учетную запись в Discord.

О проблеме рассказывают специалисты компании JFrog. Они пишут, что пейлоады вредоносных пакетов отличались: от инфостилеров до бэкдоров с полным удаленным доступом. То есть предполагается, что пакеты были созданы и распространялись разными злоумышленниками.

«Пакеты имеют разные тактики заражения, включая использование тайпсквоттинга, путаницы  зависимостей и троянских функций», — гласит отчет компании.

JFrog сообщает, что вредоносной функциональностью обладали следующие пакеты:

Пакет Версия  Полезная нагрузка Метод заражения
prerequests-xcode 1.0.4 Троян удаленного доступа (RAT) Неизвестно
discord-selfbot-v14 12.0.3 Похититель токенов Discord Тайпсквоттинг/Троян
discord-lofy 11.5.1 Похититель токенов Discord Тайпсквоттинг/Троян
discordsystem 11.5.1 Похититель токенов Discord Тайпсквоттинг/Троян
discord-vilao 1.0.0 Похититель токенов Discord Тайпсквоттинг/Троян
fix-error 1.0.0 PirateStealer (малварь для дискорд Discord) Троян
wafer-bind 1.1.2 Похититель переменных среды Тайпсквоттинг
wafer-autocomplete 1.25.0 Похититель переменных среды Тайпсквоттинг
wafer-beacon 1.3.3 Похититель переменных среды Тайпсквоттинг
wafer-caas 1.14.20 Похититель переменных среды Тайпсквоттинг
wafer-toggle 1.15.4 Похититель переменных среды Тайпсквоттинг
wafer-geolocation 1.2.10 Похититель переменных среды Тайпсквоттинг
wafer-image 1.2.2 Похититель переменных среды Тайпсквоттинг
wafer-form 1.30.1 Похититель переменных среды Тайпсквоттинг (wafer-*)
wafer-lightbox 1.5.4 Похититель переменных среды Тайпсквоттинг (wafer-*)
octavius-public 1.836.609 Похититель переменных среды Тайпсквоттинг (octavius)
mrg-message-broker 9998.987.376 Похититель переменных среды Путаница зависимостей

 

«К счастью, все пакеты были удалены до того, как они смогли набрать большое количество установок (согласно данным npm), поэтому нам удалось избежать сценария, подобного PyPI, когда вредоносные пакеты загружались десятки тысяч раз, прежде чем их обнаружили и удалили», — говорят эксперты.

Вышеупомянутая кража токенов для Discord позволяла злоумышленникам использовать платформу в качестве скрытого канала кражи данных, распространять вредоносное ПО среди других пользователей Discord и даже продавать премиум-аккаунты Discord Nitro третьим лицам, которые затем могли применять их в своих кампаниях.

Также подчеркивается, что пакет prerequests-xcode был особенно опасен и функционировал как полноценный троян удаленного доступа, представляя собой порт малвари DiscordRAT на Node.JS. Он обладал функциональностью для захвата скриншотов, сбора данных из буфера обмена, выполнения произвольного кода VBScript и PowerShell, кражи паролей и мог загружать вредоносные файлы.

«В последнее время мы наблюдаем настоящий шквал малвари, которая размещается и доставляется через репозитории с открытым исходным кодом, — пишут специалисты. — Публичные репозитории стали удобным инструментом для распространения вредоносных программ: сервер репозитория является доверенным ресурсом, и взаимодействие с ним не вызывает подозрений со стороны антивируса или брандмауэра. Кроме того, простота установки с помощью инструментов автоматизации, таких как клиент npm, обеспечивает готовый вектор для атак».

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии