Un autre lot de 25 biblioth\u00e8ques JavaScript malveillantes a fait son chemin vers le registre officiel des packages NPM dans le but de voler des jetons Discord et des variables d’environnement de syst\u00e8mes compromis, plus de deux mois apr\u00e8s la suppression de 17 packages similaires.<\/p>\n
Les biblioth\u00e8ques en question ont tir\u00e9 parti des techniques de typosquattage et se sont fait passer pour d’autres packages l\u00e9gitimes tels que colors.js, crypto-js, discord.js, marked et noblox.js, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 DevOps JFrog, attribuant les packages au travail de “logiciels malveillants novices”. auteurs.”<\/p>\n
![\"Sauvegardes](\"https:\/\/thehackernews.com\/images\/-b2ieWo0PeVw\/YVHQq_NfHwI\/AAAAAAAA4Z8\/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ\/s728-e100\/rewind-2-728.png\")
<\/a><\/div>\nLa liste compl\u00e8te des forfaits est ci-dessous \u2013<\/p>\n
- \n
- node-colors-sync (voleur de jetons Discord)<\/li>\n
- color-self (voleur de jetons Discord)<\/li>\n
- color-self-2 (voleur de jetons Discord)<\/li>\n
- wafer-text (Voleur de variable d’environnement)<\/li>\n
- wafer-countdown (Voleur de variable d’environnement)<\/li>\n
- wafer-template (voleur de variable d’environnement)<\/li>\n
- wafer-darla (voleur de variable d’environnement)<\/li>\n
- lemaaa (voleur de jetons Discord)<\/li>\n
- adv-discord-utility (voleur de jetons Discord)<\/li>\n
- tools-for-discord (Voleur de jetons Discord)<\/li>\n
- mynewpkg (Voleur de variables d’environnement)<\/li>\n
- purple-bitch (voleur de jetons Discord)<\/li>\n
- purple-bitchs (voleur de jetons Discord)<\/li>\n
- noblox.js-addons (voleur de jetons Discord)<\/li>\n
- kakakaakaaa11aa (shell Connectback)<\/li>\n
- markjs (injecteur de code \u00e0 distance Python)<\/li>\n
- crypto-standarts (injecteur de code \u00e0 distance Python)<\/li>\n
- discord-selfbot-tools (voleur de jetons Discord)<\/li>\n
- discord.js-aployscript-v11 (Voleur de jetons Discord)<\/li>\n
- discord.js-selfbot-aployscript (voleur de jetons Discord)<\/li>\n
- discord.js-selfbot-aployed (voleur de jetons Discord)<\/li>\n
- discord.js-discord-selfbot-v4 (Voleur de jetons Discord)<\/li>\n
- colors-beta (voleur de jetons Discord)<\/li>\n
- vera.js (voleur de jetons Discord)<\/li>\n
- discord-protection (voleur de jetons Discord)<\/li>\n<\/ul>\n
Les jetons Discord sont devenus un moyen lucratif pour les acteurs de la menace d’obtenir un acc\u00e8s non autoris\u00e9 aux comptes sans mot de passe, permettant aux op\u00e9rateurs d’exploiter l’acc\u00e8s pour propager des liens malveillants via les canaux Discord.<\/p>\n
Variables d’environnement, stock\u00e9es en tant que paires cl\u00e9-valeur<\/a>sont utilis\u00e9s pour enregistrer les informations relatives \u00e0 l’environnement de programmation sur la machine de d\u00e9veloppement, notamment les jetons d’acc\u00e8s \u00e0 l’API, les cl\u00e9s d’authentification, les URL d’API et les noms de compte.<\/p>\n
Deux packages malveillants, nomm\u00e9s markjs et crypto-standarts, se distinguent par leur r\u00f4le de packages de chevaux de Troie en double en ce sens qu’ils reproduisent compl\u00e8tement les fonctionnalit\u00e9s d’origine des biblioth\u00e8ques bien connues. marqu\u00e9<\/a> et crypto-js<\/a>mais comportent un code malveillant suppl\u00e9mentaire pour injecter \u00e0 distance du code Python arbitraire.<\/p>\n
<\/a><\/div>\n
Un autre package malveillant est lemaaa, “une biblioth\u00e8que destin\u00e9e \u00e0 \u00eatre utilis\u00e9e par des acteurs malveillants pour manipuler des comptes Discord”, ont d\u00e9clar\u00e9 les chercheurs Andrey Polkovnychenko et Shachar Menashe. mentionn\u00e9<\/a>. “Lorsqu’elle est utilis\u00e9e d’une certaine mani\u00e8re, la biblioth\u00e8que d\u00e9tournera le jeton secret Discord qui lui a \u00e9t\u00e9 donn\u00e9, en plus d’ex\u00e9cuter la fonction utilitaire demand\u00e9e.”<\/p>\n
Plus pr\u00e9cis\u00e9ment, lemaaa est con\u00e7u pour utiliser le jeton Discord fourni pour siphonner les informations de carte de cr\u00e9dit de la victime, prendre le contr\u00f4le du compte en modifiant le mot de passe et l’e-mail du compte, et m\u00eame supprimer tous les amis de la victime.<\/p>\n
Vera.js, \u00e9galement un r\u00e9cup\u00e9rateur de jetons Discord, adopte une approche diff\u00e9rente pour mener \u00e0 bien ses activit\u00e9s de vol de jetons. Au lieu de r\u00e9cup\u00e9rer les informations du stockage sur disque local, il r\u00e9cup\u00e8re les jetons du stockage local d’un navigateur Web.<\/p>\n
“Cette technique peut \u00eatre utile pour voler des jetons qui ont \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9s lors de la connexion \u00e0 l’aide du navigateur Web sur le site Web Discord, par opposition \u00e0 l’utilisation de l’application Discord (qui enregistre le jeton sur le stockage sur disque local)”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n
Au contraire, les r\u00e9sultats sont les derniers d’une s\u00e9rie de divulgations r\u00e9v\u00e9lant l’abus de NPM pour d\u00e9ployer une gamme de charges utiles allant des voleurs d’informations aux portes d\u00e9rob\u00e9es d’acc\u00e8s \u00e0 distance complet, ce qui rend imp\u00e9ratif que les d\u00e9veloppeurs inspectent leurs d\u00e9pendances de packages pour att\u00e9nuer typosquattage<\/a> et les attaques de confusion de d\u00e9pendance.<\/p>\n
<\/p>\n<\/div>\n