Otro lote de 25 bibliotecas de JavaScript maliciosas lleg\u00f3 al registro oficial de paquetes de NPM con el objetivo de robar tokens de Discord y variables de entorno de sistemas comprometidos, m\u00e1s de dos meses despu\u00e9s de que se eliminaran 17 paquetes similares.<\/p>\n
Las bibliotecas en cuesti\u00f3n aprovecharon las t\u00e9cnicas de typosquatting y se hicieron pasar por otros paquetes leg\u00edtimos como colors.js, crypto-js, discord.js,marked y noblox.js, dijo la firma de seguridad DevOps JFrog, atribuyendo los paquetes como el trabajo de “malware novato”. autores”.<\/p>\n
![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Notorious-Trickbot-Malware-Gang-cierra-su-infraestructura-de-botnet.png\")
<\/a><\/div>\nLa lista completa de paquetes est\u00e1 a continuaci\u00f3n:<\/p>\n
- \n
- node-colors-sync (ladr\u00f3n de fichas de Discord)<\/li>\n
- color-self (ladr\u00f3n de fichas de Discord)<\/li>\n
- color-self-2 (ladr\u00f3n de fichas de Discord)<\/li>\n
- wafer-text (ladr\u00f3n de variables de entorno)<\/li>\n
- wafer-countdown (ladr\u00f3n de variables de entorno)<\/li>\n
- plantilla de oblea (ladr\u00f3n de variables de entorno)<\/li>\n
- wafer-darla (ladr\u00f3n de variables ambientales)<\/li>\n
- lemaaa (ladr\u00f3n de fichas de Discord)<\/li>\n
- adv-discord-utility (ladr\u00f3n de fichas de Discord)<\/li>\n
- tools-for-discord (ladr\u00f3n de fichas de Discord)<\/li>\n
- mynewpkg (ladr\u00f3n de variables de entorno)<\/li>\n
- perra morada (ladr\u00f3n de fichas de Discord)<\/li>\n
- perras moradas (ladr\u00f3n de fichas de Discord)<\/li>\n
- noblox.js-addons (ladr\u00f3n de fichas de Discord)<\/li>\n
- kakakaakaaa11aa (Concha Connectback)<\/li>\n
- markedjs (inyector de c\u00f3digo remoto de Python)<\/li>\n
- est\u00e1ndares criptogr\u00e1ficos (inyector de c\u00f3digo remoto de Python)<\/li>\n
- discord-selfbot-tools (ladr\u00f3n de fichas de Discord)<\/li>\n
- discord.js-aployscript-v11 (ladr\u00f3n de tokens de Discord)<\/li>\n
- discord.js-selfbot-aployscript (ladr\u00f3n de fichas de Discord)<\/li>\n
- discord.js-selfbot-aployed (ladr\u00f3n de fichas de Discord)<\/li>\n
- discord.js-discord-selfbot-v4 (ladr\u00f3n de fichas de Discord)<\/li>\n
- colors-beta (ladr\u00f3n de fichas de Discord)<\/li>\n
- vera.js (ladr\u00f3n de fichas de Discord)<\/li>\n
- discord-protection (ladr\u00f3n de fichas de Discord)<\/li>\n<\/ul>\n
Los tokens de Discord se han convertido en un medio lucrativo para que los actores de amenazas obtengan acceso no autorizado a las cuentas sin contrase\u00f1a, lo que permite a los operadores explotar el acceso para propagar enlaces maliciosos a trav\u00e9s de los canales de Discord.<\/p>\n
Variables de entorno, almacenadas como pares clave-valor<\/a>se utilizan para guardar informaci\u00f3n relacionada con el entorno de programaci\u00f3n en la m\u00e1quina de desarrollo, incluidos los tokens de acceso a la API, las claves de autenticaci\u00f3n, las URL de la API y los nombres de cuenta.<\/p>\n
Dos paquetes maliciosos, llamados namedjs y crypto-standarts, se destacan por su papel como paquetes de troyanos duplicados en el sentido de que replican completamente la funcionalidad original de bibliotecas conocidas. marcado<\/a> y cripto-js<\/a>pero cuentan con c\u00f3digo malicioso adicional para inyectar de forma remota c\u00f3digo Python arbitrario.<\/p>\n
<\/a><\/div>\n
Otro paquete malicioso es lemaaa, “una biblioteca que est\u00e1 destinada a ser utilizada por actores de amenazas maliciosas para manipular cuentas de Discord”, investigadores Andrey Polkovnychenko y Shachar Menashe. dijo<\/a>. “Cuando se usa de cierta manera, la biblioteca secuestrar\u00e1 el token secreto de Discord que se le entreg\u00f3, adem\u00e1s de realizar la funci\u00f3n de utilidad solicitada”.<\/p>\n
Espec\u00edficamente, lemaaa est\u00e1 dise\u00f1ado para usar el token de Discord provisto para desviar la informaci\u00f3n de la tarjeta de cr\u00e9dito de la v\u00edctima, hacerse cargo de la cuenta cambiando la contrase\u00f1a y el correo electr\u00f3nico de la cuenta, e incluso eliminar a todos los amigos de la v\u00edctima.<\/p>\n
Vera.js, tambi\u00e9n un capturador de tokens de Discord, adopta un enfoque diferente para llevar a cabo sus actividades de robo de tokens. En lugar de recuperar la informaci\u00f3n del almacenamiento en disco local, recupera los tokens del almacenamiento local de un navegador web.<\/p>\n
“Esta t\u00e9cnica puede ser \u00fatil para robar tokens que se generaron al iniciar sesi\u00f3n con el navegador web en el sitio web de Discord, a diferencia de cuando se usa la aplicaci\u00f3n Discord (que guarda el token en el almacenamiento del disco local)”, dijeron los investigadores.<\/p>\n
En todo caso, los hallazgos son los \u00faltimos de una serie de revelaciones que revelan el abuso de NPM para implementar una serie de cargas \u00fatiles que van desde ladrones de informaci\u00f3n hasta puertas traseras de acceso remoto completo, por lo que es imperativo que los desarrolladores inspeccionen las dependencias de sus paquetes para mitigar typosquatting<\/a> y ataques de confusi\u00f3n de dependencia.<\/p>\n
<\/p>\n<\/div>\n