Otro lote de 25 bibliotecas de JavaScript maliciosas llegó al registro oficial de paquetes de NPM con el objetivo de robar tokens de Discord y variables de entorno de sistemas comprometidos, más de dos meses después de que se eliminaran 17 paquetes similares.
Las bibliotecas en cuestión aprovecharon las técnicas de typosquatting y se hicieron pasar por otros paquetes legítimos como colors.js, crypto-js, discord.js,marked y noblox.js, dijo la firma de seguridad DevOps JFrog, atribuyendo los paquetes como el trabajo de «malware novato». autores».
La lista completa de paquetes está a continuación:
- node-colors-sync (ladrón de fichas de Discord)
- color-self (ladrón de fichas de Discord)
- color-self-2 (ladrón de fichas de Discord)
- wafer-text (ladrón de variables de entorno)
- wafer-countdown (ladrón de variables de entorno)
- plantilla de oblea (ladrón de variables de entorno)
- wafer-darla (ladrón de variables ambientales)
- lemaaa (ladrón de fichas de Discord)
- adv-discord-utility (ladrón de fichas de Discord)
- tools-for-discord (ladrón de fichas de Discord)
- mynewpkg (ladrón de variables de entorno)
- perra morada (ladrón de fichas de Discord)
- perras moradas (ladrón de fichas de Discord)
- noblox.js-addons (ladrón de fichas de Discord)
- kakakaakaaa11aa (Concha Connectback)
- markedjs (inyector de código remoto de Python)
- estándares criptográficos (inyector de código remoto de Python)
- discord-selfbot-tools (ladrón de fichas de Discord)
- discord.js-aployscript-v11 (ladrón de tokens de Discord)
- discord.js-selfbot-aployscript (ladrón de fichas de Discord)
- discord.js-selfbot-aployed (ladrón de fichas de Discord)
- discord.js-discord-selfbot-v4 (ladrón de fichas de Discord)
- colors-beta (ladrón de fichas de Discord)
- vera.js (ladrón de fichas de Discord)
- discord-protection (ladrón de fichas de Discord)
Los tokens de Discord se han convertido en un medio lucrativo para que los actores de amenazas obtengan acceso no autorizado a las cuentas sin contraseña, lo que permite a los operadores explotar el acceso para propagar enlaces maliciosos a través de los canales de Discord.
Variables de entorno, almacenadas como pares clave-valorse utilizan para guardar información relacionada con el entorno de programación en la máquina de desarrollo, incluidos los tokens de acceso a la API, las claves de autenticación, las URL de la API y los nombres de cuenta.
Dos paquetes maliciosos, llamados namedjs y crypto-standarts, se destacan por su papel como paquetes de troyanos duplicados en el sentido de que replican completamente la funcionalidad original de bibliotecas conocidas. marcado y cripto-jspero cuentan con código malicioso adicional para inyectar de forma remota código Python arbitrario.
Otro paquete malicioso es lemaaa, «una biblioteca que está destinada a ser utilizada por actores de amenazas maliciosas para manipular cuentas de Discord», investigadores Andrey Polkovnychenko y Shachar Menashe. dijo. «Cuando se usa de cierta manera, la biblioteca secuestrará el token secreto de Discord que se le entregó, además de realizar la función de utilidad solicitada».
Específicamente, lemaaa está diseñado para usar el token de Discord provisto para desviar la información de la tarjeta de crédito de la víctima, hacerse cargo de la cuenta cambiando la contraseña y el correo electrónico de la cuenta, e incluso eliminar a todos los amigos de la víctima.
Vera.js, también un capturador de tokens de Discord, adopta un enfoque diferente para llevar a cabo sus actividades de robo de tokens. En lugar de recuperar la información del almacenamiento en disco local, recupera los tokens del almacenamiento local de un navegador web.
«Esta técnica puede ser útil para robar tokens que se generaron al iniciar sesión con el navegador web en el sitio web de Discord, a diferencia de cuando se usa la aplicación Discord (que guarda el token en el almacenamiento del disco local)», dijeron los investigadores.
En todo caso, los hallazgos son los últimos de una serie de revelaciones que revelan el abuso de NPM para implementar una serie de cargas útiles que van desde ladrones de información hasta puertas traseras de acceso remoto completo, por lo que es imperativo que los desarrolladores inspeccionen las dependencias de sus paquetes para mitigar typosquatting y ataques de confusión de dependencia.