Исследователи обнаружили еще 17 вредоносных пакетов в репозитории npm. На этот раз малварь похищала учетные данные, токены, другую информацию о серверах Discord и не только. Токены действуют как аутентификационные cookie и позволяют захватить чужую учетную запись в Discord.
О проблеме рассказывают специалисты компании JFrog. Они пишут, что пейлоады вредоносных пакетов отличались: от инфостилеров до бэкдоров с полным удаленным доступом. То есть предполагается, что пакеты были созданы и распространялись разными злоумышленниками.
«Пакеты имеют разные тактики заражения, включая использование тайпсквоттинга, путаницы зависимостей и троянских функций», — гласит отчет компании.
JFrog сообщает, что вредоносной функциональностью обладали следующие пакеты:
Пакет | Версия | Полезная нагрузка | Метод заражения |
prerequests-xcode | 1.0.4 | Троян удаленного доступа (RAT) | Неизвестно |
discord-selfbot-v14 | 12.0.3 | Похититель токенов Discord | Тайпсквоттинг/Троян |
discord-lofy | 11.5.1 | Похититель токенов Discord | Тайпсквоттинг/Троян |
discordsystem | 11.5.1 | Похититель токенов Discord | Тайпсквоттинг/Троян |
discord-vilao | 1.0.0 | Похититель токенов Discord | Тайпсквоттинг/Троян |
fix-error | 1.0.0 | PirateStealer (малварь для дискорд Discord) | Троян |
wafer-bind | 1.1.2 | Похититель переменных среды | Тайпсквоттинг |
wafer-autocomplete | 1.25.0 | Похититель переменных среды | Тайпсквоттинг |
wafer-beacon | 1.3.3 | Похититель переменных среды | Тайпсквоттинг |
wafer-caas | 1.14.20 | Похититель переменных среды | Тайпсквоттинг |
wafer-toggle | 1.15.4 | Похититель переменных среды | Тайпсквоттинг |
wafer-geolocation | 1.2.10 | Похититель переменных среды | Тайпсквоттинг |
wafer-image | 1.2.2 | Похититель переменных среды | Тайпсквоттинг |
wafer-form | 1.30.1 | Похититель переменных среды | Тайпсквоттинг (wafer-*) |
wafer-lightbox | 1.5.4 | Похититель переменных среды | Тайпсквоттинг (wafer-*) |
octavius-public | 1.836.609 | Похититель переменных среды | Тайпсквоттинг (octavius) |
mrg-message-broker | 9998.987.376 | Похититель переменных среды | Путаница зависимостей |
«К счастью, все пакеты были удалены до того, как они смогли набрать большое количество установок (согласно данным npm), поэтому нам удалось избежать сценария, подобного PyPI, когда вредоносные пакеты загружались десятки тысяч раз, прежде чем их обнаружили и удалили», — говорят эксперты.
Вышеупомянутая кража токенов для Discord позволяла злоумышленникам использовать платформу в качестве скрытого канала кражи данных, распространять вредоносное ПО среди других пользователей Discord и даже продавать премиум-аккаунты Discord Nitro третьим лицам, которые затем могли применять их в своих кампаниях.
Также подчеркивается, что пакет prerequests-xcode был особенно опасен и функционировал как полноценный троян удаленного доступа, представляя собой порт малвари DiscordRAT на Node.JS. Он обладал функциональностью для захвата скриншотов, сбора данных из буфера обмена, выполнения произвольного кода VBScript и PowerShell, кражи паролей и мог загружать вредоносные файлы.
«В последнее время мы наблюдаем настоящий шквал малвари, которая размещается и доставляется через репозитории с открытым исходным кодом, — пишут специалисты. — Публичные репозитории стали удобным инструментом для распространения вредоносных программ: сервер репозитория является доверенным ресурсом, и взаимодействие с ним не вызывает подозрений со стороны антивируса или брандмауэра. Кроме того, простота установки с помощью инструментов автоматизации, таких как клиент npm, обеспечивает готовый вектор для атак».