В репозитории NPM обнаружено 25 новых вредоносных пакетов
25/02/22
В официальном репозитории NPM обнаружено 25 новых вредоносных JavaScript-библиотек, похищающих токены Discord и переменные среды.
Библиотеки используют так называемый тайпсквоттинг – то есть, их названия очень похожи на названия легитимных библиотек с небольшим отличием. В частности, они маскируются под colors.js, crypto-js, discord.js, marked и noblox.js, сообщает компания JFrog.
Список вредоносных библиотек:
- node-colors-sync (похищает токены Discord);
- color-self (похищает токены Discord);
- color-self-2 (похищает токены Discord);
- wafer-text (похищает переменные среды);
- wafer-countdown (похищает переменные среды);
- wafer-template (похищает переменные среды);
- wafer-darla (похищает переменные среды);
- lemaaa (похищает токены Discord);
- adv-discord-utility (похищает токены Discord);
- tools-for-discord (похищает токены Discord);
- mynewpkg (похищает переменные среды);
- purple-bitch (похищает токены Discord);
- purple-bitchs (похищает токены Discord);
- noblox.js-addons (похищает токены Discord);
- kakakaakaaa11aa (обратная оболочка);
- markedjs (инструмент для удаленного внедрения кода Python);
- crypto-standarts (инструмент для удаленного внедрения кода Python);
- discord-selfbot-tools (похищает токены Discord);
- discord.js-aployscript-v11 (похищает токены Discord);
- discord.js-selfbot-aployscript (похищает токены Discord);
- discord.js-selfbot-aployed (похищает токены Discord);
- discord.js-discord-selfbot-v4 (похищает токены Discord);
- colors-beta (похищает токены Discord);
- vera.js (похищает токены Discord);
- discord-protection (похищает токены Discord).
Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки.
Переменные среды, такие как значения пар ключей, используются для сохранения информации, относящейся к среде программирования на компьютере разработчика, включая токены доступа API, ключи для авторизации, API URL и названия учетных записей.
Два вредоносных пакета, markedjs и crypto-standarts, отличаются от остальных тем, что их функционал полностью соответствует легитимным версиям библиотек marked и crypto-js, но они также могут внедрять дополнительный вредоносный код Python.