Бесплатно Экспресс-аудит сайта:

25.02.2022

В репозитории NPM обнаружено 25 новых вредоносных пакетов

В официальном репозитории NPM обнаружено 25 новых вредоносных JavaScript-библиотек, похищающих токены Discord и переменные среды.

Библиотеки используют так называемый тайпсквоттинг – то есть, их названия очень похожи на названия легитимных библиотек с небольшим отличием. В частности, они маскируются под colors.js, crypto-js, discord.js, marked и noblox.js, сообщает компания JFrog.

Список вредоносных библиотек:

  • node-colors-sync (похищает токены Discord);

  • color-self (похищает токены Discord);

  • color-self-2 (похищает токены Discord);

  • wafer-text (похищает переменные среды);

  • wafer-countdown (похищает переменные среды);

  • wafer-template (похищает переменные среды);

  • wafer-darla (похищает переменные среды);

  • lemaaa (похищает токены Discord);

  • adv-discord-utility (похищает токены Discord);

  • tools-for-discord (похищает токены Discord);

  • mynewpkg (похищает переменные среды);

  • purple-bitch (похищает токены Discord);

  • purple-bitchs (похищает токены Discord);

  • noblox.js-addons (похищает токены Discord);

  • kakakaakaaa11aa (обратная оболочка);

  • markedjs (инструмент для удаленного внедрения кода Python);

  • crypto-standarts (инструмент для удаленного внедрения кода Python);

  • discord-selfbot-tools (похищает токены Discord);

  • discord.js-aployscript-v11 (похищает токены Discord);

  • discord.js-selfbot-aployscript (похищает токены Discord);

  • discord.js-selfbot-aployed (похищает токены Discord);

  • discord.js-discord-selfbot-v4 (похищает токены Discord);

  • colors-beta (похищает токены Discord);

  • vera.js (похищает токены Discord);

  • discord-protection (похищает токены Discord).

Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки.

Переменные среды, такие как значения пар ключей, используются для сохранения информации, относящейся к среде программирования на компьютере разработчика, включая токены доступа API, ключи для авторизации, API URL и названия учетных записей.

Два вредоносных пакета, markedjs и crypto-standarts, отличаются от остальных тем, что их функционал полностью соответствует легитимным версиям библиотек marked и crypto-js, но они также могут внедрять дополнительный вредоносный код Python.