Вредоносные JavaScript-библиотеки похищают токены Discord и переменные среды.
В официальном репозитории NPM обнаружено 25 новых вредоносных JavaScript-библиотек, похищающих токены Discord и переменные среды.
Библиотеки используют так называемый тайпсквоттинг – то есть, их названия очень похожи на названия легитимных библиотек с небольшим отличием. В частности, они маскируются под colors.js, crypto-js, discord.js, marked и noblox.js, сообщает компания JFrog.
Список вредоносных библиотек:
-
node-colors-sync (похищает токены Discord);
-
color-self (похищает токены Discord);
-
color-self-2 (похищает токены Discord);
-
wafer-text (похищает переменные среды);
-
wafer-countdown (похищает переменные среды);
-
wafer-template (похищает переменные среды);
-
wafer-darla (похищает переменные среды);
-
lemaaa (похищает токены Discord);
-
adv-discord-utility (похищает токены Discord);
-
tools-for-discord (похищает токены Discord);
-
mynewpkg (похищает переменные среды);
-
purple-bitch (похищает токены Discord);
-
purple-bitchs (похищает токены Discord);
-
noblox.js-addons (похищает токены Discord);
-
kakakaakaaa11aa (обратная оболочка);
-
markedjs (инструмент для удаленного внедрения кода Python);
-
crypto-standarts (инструмент для удаленного внедрения кода Python);
-
discord-selfbot-tools (похищает токены Discord);
-
discord.js-aployscript-v11 (похищает токены Discord);
-
discord.js-selfbot-aployscript (похищает токены Discord);
-
discord.js-selfbot-aployed (похищает токены Discord);
-
discord.js-discord-selfbot-v4 (похищает токены Discord);
-
colors-beta (похищает токены Discord);
-
vera.js (похищает токены Discord);
-
discord-protection (похищает токены Discord).
node-colors-sync (похищает токены Discord);
color-self (похищает токены Discord);
color-self-2 (похищает токены Discord);
wafer-text (похищает переменные среды);
wafer-countdown (похищает переменные среды);
wafer-template (похищает переменные среды);
wafer-darla (похищает переменные среды);
lemaaa (похищает токены Discord);
adv-discord-utility (похищает токены Discord);
tools-for-discord (похищает токены Discord);
mynewpkg (похищает переменные среды);
purple-bitch (похищает токены Discord);
purple-bitchs (похищает токены Discord);
noblox.js-addons (похищает токены Discord);
kakakaakaaa11aa (обратная оболочка);
markedjs (инструмент для удаленного внедрения кода Python);
crypto-standarts (инструмент для удаленного внедрения кода Python);
discord-selfbot-tools (похищает токены Discord);
discord.js-aployscript-v11 (похищает токены Discord);
discord.js-selfbot-aployscript (похищает токены Discord);
discord.js-selfbot-aployed (похищает токены Discord);
discord.js-discord-selfbot-v4 (похищает токены Discord);
colors-beta (похищает токены Discord);
vera.js (похищает токены Discord);
discord-protection (похищает токены Discord).
Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки.
Переменные среды, такие как значения пар ключей, используются для сохранения информации, относящейся к среде программирования на компьютере разработчика, включая токены доступа API, ключи для авторизации, API URL и названия учетных записей.
Два вредоносных пакета, markedjs и crypto-standarts, отличаются от остальных тем, что их функционал полностью соответствует легитимным версиям библиотек marked и crypto-js, но они также могут внедрять дополнительный вредоносный код Python.
Источник: securitylab