В репозитории NPM выявлено 25 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка.
www.opennet.ru
- 17 пакетов включали вредоносный код для поиска в локальной файловой системе токенов Discord и их отправки на сервер злоумышленников. В большинстве случаев вредоносные изменения камуфлировались через поставку модифицированных вариантов легитимных библиотек discord.js и colors.
- node-colors-sync
- color-self
- color-self-2
- lemaaa
- adv-discord-utility
- tools-for-discord
- purple-bitch
- purple-bitchs
- noblox.js-addons
- discord-selfbot-tools
- discord.js-aployscript-v11
- discord.js-selfbot-aployscript
- discord.js-selfbot-aployed
- discord.js-discord-selfbot-v4
- colors-beta
- vera.js
- discord-protection
- 5 пакетов включали код для отправки содержимого переменных окружения, которые, например, могли включать ключи доступа, токены или пароли к системам непрерывной интеграции или облачным окружениям, таким как AWS.
- wafer-text
- wafewafer-templater-countdown
- wafer-template
- wafer-darla
- mynewpkg
- 2 пакета (markedjs, crypto-standarts) включали троян для организации удалённого доступа к системе пользователя, позволяющий выполнить произвольный код на языке Python (Python remote code injector).
- 1 пакет (kakakaakaaa11aa) включал бэкдор для удалённого управления системой (Connectback shell).