25 kötü amaçlı JavaScript kitaplığından oluşan başka bir grup, 17 benzer paketin kaldırılmasından iki aydan fazla bir süre sonra, Discord belirteçlerini ve ortam değişkenlerini tehlikeye atılmış sistemlerden çalmak amacıyla resmi NPM paket kayıt defterine doğru yol aldı.
DevOps güvenlik firması JFrog, paketleri “acemi kötü amaçlı yazılımların işi” olarak nitelendirerek, söz konusu kitaplıkların yazım denetimi tekniklerinden yararlandığını ve color.js, crypto-js, discord.js, işaretli ve noblox.js gibi diğer meşru paketler gibi maskelendiğini söyledi. yazarlar.”
Paketlerin tam listesi aşağıdadır –
- node-colors-sync (Discord belirteci hırsızı)
- color-self (Discord token hırsızı)
- color-self-2 (Discord token hırsızı)
- gofret metni (Ortam değişken hırsızı)
- gofret geri sayımı (Ortam değişken hırsızı)
- gofret şablonu (Ortam değişken hırsızı)
- wafer-darla (Çevre değişken hırsızı)
- lemaaa (Discord token hırsızı)
- adv-discord-yardımcı programı (Discord belirteci hırsızı)
- anlaşmazlık araçları (Discord belirteci hırsızı)
- mynewpkg (Ortam değişken hırsızı)
- mor kaltak (Discord token hırsızı)
- mor sürtükler (Discord token hırsızı)
- noblox.js-addons (Discord token hırsızı)
- kakakaakaaa11aa (Connectback kabuğu)
- markjs (Python uzaktan kod enjektörü)
- kripto standartları (Python uzaktan kod enjektörü)
- discord-selfbot araçları (Discord token hırsızı)
- discord.js-aployscript-v11 (Discord belirteci hırsızı)
- discord.js-selfbot-aployscript (Discord belirteci hırsızı)
- discord.js-selfbot-aployed (Discord belirteci hırsızı)
- discord.js-discord-selfbot-v4 (Discord token hırsızı)
- renkler-beta (Discord belirteci hırsızı)
- vera.js (Discord token hırsızı)
- uyumsuzluk koruması (Discord belirteci hırsızı)
Discord belirteçleri, tehdit aktörlerinin hesaplara yetkisiz erişim elde etmeleri için kazançlı bir araç olarak ortaya çıktı ve operatörlerin Discord kanalları aracılığıyla kötü niyetli bağlantıları yaymak için erişimi kullanmalarını sağladı.
olarak depolanan ortam değişkenleri anahtar/değer çiftleriAPI erişim belirteçleri, kimlik doğrulama anahtarları, API URL’leri ve hesap adları dahil olmak üzere geliştirme makinesindeki programlama ortamıyla ilgili bilgileri kaydetmek için kullanılır.
Markjs ve kripto standartları olarak adlandırılan iki hileli paket, iyi bilinen kitaplıkların orijinal işlevlerini tamamen kopyaladıkları için yinelenen truva atı paketleri olarak rolleriyle öne çıkıyor. işaretlenmiş ve kripto-jsancak isteğe bağlı Python kodunu uzaktan enjekte etmek için ek kötü amaçlı kod içerir.
Araştırmacılar Andrey Polkovnychenko ve Shachar Menashe, “kötü niyetli tehdit aktörleri tarafından Discord hesaplarını manipüle etmek için kullanılması amaçlanan bir kitaplık” olan lemaaa’dır. dedim. “Belirli bir şekilde kullanıldığında, kitaplık, istenen yardımcı işlevi gerçekleştirmenin yanı sıra kendisine verilen gizli Discord belirtecini de ele geçirecektir.”
Spesifik olarak, lemaaa, sağlanan Discord jetonunu kurbanın kredi kartı bilgilerini sifonlamak, hesap şifresini ve e-postasını değiştirerek hesabı ele geçirmek ve hatta kurbanın tüm arkadaşlarını kaldırmak için kullanacak şekilde tasarlanmıştır.
Aynı zamanda bir Discord token tutucusu olan Vera.js, token hırsızlığı faaliyetlerini yürütmek için farklı bir yaklaşım benimsiyor. Bilgileri yerel disk deposundan almak yerine, belirteçleri bir web tarayıcısının yerel deposundan alır.
Araştırmacılar, “Bu teknik, Discord uygulamasını kullanırken (belirteci yerel disk deposuna kaydeder) aksine, web tarayıcısını kullanarak Discord web sitesine giriş yaparken oluşturulan belirteçleri çalmaya yardımcı olabilir” dedi.
Herhangi bir şey varsa, bulgular bilgi hırsızlarından tam uzaktan erişim arka kapılarına kadar bir dizi yükü dağıtmak için NPM’nin kötüye kullanıldığını ortaya çıkaran bir dizi ifşaatın en sonuncusu ve geliştiricilerin paket bağımlılıklarını azaltmak için incelemelerini zorunlu kılıyor. yazım hatası ve bağımlılık karışıklığı saldırıları.