Un autre lot de 25 bibliothèques JavaScript malveillantes a fait son chemin vers le registre officiel des packages NPM dans le but de voler des jetons Discord et des variables d’environnement de systèmes compromis, plus de deux mois après la suppression de 17 packages similaires.
Les bibliothèques en question ont tiré parti des techniques de typosquattage et se sont fait passer pour d’autres packages légitimes tels que colors.js, crypto-js, discord.js, marked et noblox.js, a déclaré la société de sécurité DevOps JFrog, attribuant les packages au travail de « logiciels malveillants novices ». auteurs. »
La liste complète des forfaits est ci-dessous –
- node-colors-sync (voleur de jetons Discord)
- color-self (voleur de jetons Discord)
- color-self-2 (voleur de jetons Discord)
- wafer-text (Voleur de variable d’environnement)
- wafer-countdown (Voleur de variable d’environnement)
- wafer-template (voleur de variable d’environnement)
- wafer-darla (voleur de variable d’environnement)
- lemaaa (voleur de jetons Discord)
- adv-discord-utility (voleur de jetons Discord)
- tools-for-discord (Voleur de jetons Discord)
- mynewpkg (Voleur de variables d’environnement)
- purple-bitch (voleur de jetons Discord)
- purple-bitchs (voleur de jetons Discord)
- noblox.js-addons (voleur de jetons Discord)
- kakakaakaaa11aa (shell Connectback)
- markjs (injecteur de code à distance Python)
- crypto-standarts (injecteur de code à distance Python)
- discord-selfbot-tools (voleur de jetons Discord)
- discord.js-aployscript-v11 (Voleur de jetons Discord)
- discord.js-selfbot-aployscript (voleur de jetons Discord)
- discord.js-selfbot-aployed (voleur de jetons Discord)
- discord.js-discord-selfbot-v4 (Voleur de jetons Discord)
- colors-beta (voleur de jetons Discord)
- vera.js (voleur de jetons Discord)
- discord-protection (voleur de jetons Discord)
Les jetons Discord sont devenus un moyen lucratif pour les acteurs de la menace d’obtenir un accès non autorisé aux comptes sans mot de passe, permettant aux opérateurs d’exploiter l’accès pour propager des liens malveillants via les canaux Discord.
Variables d’environnement, stockées en tant que paires clé-valeursont utilisés pour enregistrer les informations relatives à l’environnement de programmation sur la machine de développement, notamment les jetons d’accès à l’API, les clés d’authentification, les URL d’API et les noms de compte.
Deux packages malveillants, nommés markjs et crypto-standarts, se distinguent par leur rôle de packages de chevaux de Troie en double en ce sens qu’ils reproduisent complètement les fonctionnalités d’origine des bibliothèques bien connues. marqué et crypto-jsmais comportent un code malveillant supplémentaire pour injecter à distance du code Python arbitraire.
Un autre package malveillant est lemaaa, « une bibliothèque destinée à être utilisée par des acteurs malveillants pour manipuler des comptes Discord », ont déclaré les chercheurs Andrey Polkovnychenko et Shachar Menashe. mentionné. « Lorsqu’elle est utilisée d’une certaine manière, la bibliothèque détournera le jeton secret Discord qui lui a été donné, en plus d’exécuter la fonction utilitaire demandée. »
Plus précisément, lemaaa est conçu pour utiliser le jeton Discord fourni pour siphonner les informations de carte de crédit de la victime, prendre le contrôle du compte en modifiant le mot de passe et l’e-mail du compte, et même supprimer tous les amis de la victime.
Vera.js, également un récupérateur de jetons Discord, adopte une approche différente pour mener à bien ses activités de vol de jetons. Au lieu de récupérer les informations du stockage sur disque local, il récupère les jetons du stockage local d’un navigateur Web.
« Cette technique peut être utile pour voler des jetons qui ont été générés lors de la connexion à l’aide du navigateur Web sur le site Web Discord, par opposition à l’utilisation de l’application Discord (qui enregistre le jeton sur le stockage sur disque local) », ont déclaré les chercheurs.
Au contraire, les résultats sont les derniers d’une série de divulgations révélant l’abus de NPM pour déployer une gamme de charges utiles allant des voleurs d’informations aux portes dérobées d’accès à distance complet, ce qui rend impératif que les développeurs inspectent leurs dépendances de packages pour atténuer typosquattage et les attaques de confusion de dépendance.