02.07.2022

В репозитории NPM выявлено 25 вредоносных пакетов

В репозитории NPM выявлено 25 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка.

  • 17 пакетов включали вредоносный код для поиска в локальной файловой системе токенов Discord и их отправки на сервер злоумышленников. В большинстве случаев для вредоносные изменения камуфлировались через поставку модифицированных вариантов легитимных библиотек discord.js и colors.
    • node-colors-sync
    • color-self
    • color-self-2
    • lemaaa
    • adv-discord-utility
    • tools-for-discord
    • purple-bitch
    • purple-bitchs
    • noblox.js-addons
    • discord-selfbot-tools
    • discord.js-aployscript-v11
    • discord.js-selfbot-aployscript
    • discord.js-selfbot-aployed
    • discord.js-discord-selfbot-v4
    • colors-beta
    • vera.js
    • discord-protection
  • 5 пакетов включали код для отправки содержимого переменных окружения, которые, например, могли включать ключи доступа, токены или пароли к системам непрерывной интеграции или облачным окружениям, таким как AWS.
    • wafer-text
    • wafewafer-templater-countdown
    • wafer-template
    • wafer-darla
    • mynewpkg
  • 2 пакета (markedjs, crypto-standarts) включали троян для организации удалённого доступа к системе пользователя, позволяющий выполнить произвольный код на языке Python (Python remote code injector).
  • 1 пакет (kakakaakaaa11aa) включал бэкдор для удалённого управления системой (Connectback shell).

Источник.