Вредоносные JavaScript-библиотеки похищают токены Discord и переменные среды.

В официальном репозитории NPM обнаружено 25 новых вредоносных JavaScript-библиотек, похищающих токены Discord и переменные среды.

Библиотеки используют так называемый тайпсквоттинг – то есть, их названия очень похожи на названия легитимных библиотек с небольшим отличием. В частности, они маскируются под colors.js, crypto-js, discord.js, marked и noblox.js, сообщает компания JFrog.

Список вредоносных библиотек:

  • node-colors-sync (похищает токены Discord);

  • color-self (похищает токены Discord);

  • color-self-2 (похищает токены Discord);

  • wafer-text (похищает переменные среды);

  • wafer-countdown (похищает переменные среды);

  • wafer-template (похищает переменные среды);

  • wafer-darla (похищает переменные среды);

  • lemaaa (похищает токены Discord);

  • adv-discord-utility (похищает токены Discord);

  • tools-for-discord (похищает токены Discord);

  • mynewpkg (похищает переменные среды);

  • purple-bitch (похищает токены Discord);

  • purple-bitchs (похищает токены Discord);

  • noblox.js-addons (похищает токены Discord);

  • kakakaakaaa11aa (обратная оболочка);

  • markedjs (инструмент для удаленного внедрения кода Python);

  • crypto-standarts (инструмент для удаленного внедрения кода Python);

  • discord-selfbot-tools (похищает токены Discord);

  • discord.js-aployscript-v11 (похищает токены Discord);

  • discord.js-selfbot-aployscript (похищает токены Discord);

  • discord.js-selfbot-aployed (похищает токены Discord);

  • discord.js-discord-selfbot-v4 (похищает токены Discord);

  • colors-beta (похищает токены Discord);

  • vera.js (похищает токены Discord);

  • discord-protection (похищает токены Discord).

node-colors-sync (похищает токены Discord);

color-self (похищает токены Discord);

color-self-2 (похищает токены Discord);

wafer-text (похищает переменные среды);

wafer-countdown (похищает переменные среды);

wafer-template (похищает переменные среды);

wafer-darla (похищает переменные среды);

lemaaa (похищает токены Discord);

adv-discord-utility (похищает токены Discord);

tools-for-discord (похищает токены Discord);

mynewpkg (похищает переменные среды);

purple-bitch (похищает токены Discord);

purple-bitchs (похищает токены Discord);

noblox.js-addons (похищает токены Discord);

kakakaakaaa11aa (обратная оболочка);

markedjs (инструмент для удаленного внедрения кода Python);

crypto-standarts (инструмент для удаленного внедрения кода Python);

discord-selfbot-tools (похищает токены Discord);

discord.js-aployscript-v11 (похищает токены Discord);

discord.js-selfbot-aployscript (похищает токены Discord);

discord.js-selfbot-aployed (похищает токены Discord);

discord.js-discord-selfbot-v4 (похищает токены Discord);

colors-beta (похищает токены Discord);

vera.js (похищает токены Discord);

discord-protection (похищает токены Discord).

Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки.

Переменные среды, такие как значения пар ключей, используются для сохранения информации, относящейся к среде программирования на компьютере разработчика, включая токены доступа API, ключи для авторизации, API URL и названия учетных записей.

Два вредоносных пакета, markedjs и crypto-standarts, отличаются от остальных тем, что их функционал полностью соответствует легитимным версиям библиотек marked и crypto-js, но они также могут внедрять дополнительный вредоносный код Python.

Источник: securitylab