Новости | ITSec.Ru

В репозитории NPM обнаружено 25 новых вредоносных пакетов

Written by Komolov Rostislav | 25/02/22

В официальном репозитории NPM обнаружено 25 новых вредоносных JavaScript-библиотек, похищающих токены Discord и переменные среды.

Библиотеки используют так называемый тайпсквоттинг – то есть, их названия очень похожи на названия легитимных библиотек с небольшим отличием. В частности, они маскируются под colors.js, crypto-js, discord.js, marked и noblox.js, сообщает компания JFrog.

Список вредоносных библиотек:

  • node-colors-sync (похищает токены Discord);
  • color-self (похищает токены Discord);
  • color-self-2 (похищает токены Discord);
  • wafer-text (похищает переменные среды);
  • wafer-countdown (похищает переменные среды);
  • wafer-template (похищает переменные среды);
  • wafer-darla (похищает переменные среды);
  • lemaaa (похищает токены Discord);
  • adv-discord-utility (похищает токены Discord);
  • tools-for-discord (похищает токены Discord);
  • mynewpkg (похищает переменные среды);
  • purple-bitch (похищает токены Discord);
  • purple-bitchs (похищает токены Discord);
  • noblox.js-addons (похищает токены Discord);
  • kakakaakaaa11aa (обратная оболочка);
  • markedjs (инструмент для удаленного внедрения кода Python);
  • crypto-standarts (инструмент для удаленного внедрения кода Python);
  • discord-selfbot-tools (похищает токены Discord);
  • discord.js-aployscript-v11 (похищает токены Discord);
  • discord.js-selfbot-aployscript (похищает токены Discord);
  • discord.js-selfbot-aployed (похищает токены Discord);
  • discord.js-discord-selfbot-v4 (похищает токены Discord);
  • colors-beta (похищает токены Discord);
  • vera.js (похищает токены Discord);
  • discord-protection (похищает токены Discord).

Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки.

Переменные среды, такие как значения пар ключей, используются для сохранения информации, относящейся к среде программирования на компьютере разработчика, включая токены доступа API, ключи для авторизации, API URL и названия учетных записей.

Два вредоносных пакета, markedjs и crypto-standarts, отличаются от остальных тем, что их функционал полностью соответствует легитимным версиям библиотек marked и crypto-js, но они также могут внедрять дополнительный вредоносный код Python.
View full post