Pacotes maliciosos no repositório NPM eram usados para sequestrar contas Discord

pacotes-maliciosos-no-repositorio-npm-eram-usados-para-sequestrar-contas-discord
Imagem: MundoJS

Os cibercriminosos estão cada vez mais “espertos” e têm buscado suas vítimas em todas as partes. Agora, por exemplo, a empresa de segurança cibernética JFrog encontrou 17 pacotes maliciosos no repositório de pacotes NPM (gerenciador de pacotes Node.js) sequestrando servidores Discord.

Os pacotes maliciosos encontrados foram desenvolvidos para sequestrar servidores Discord. De acordo com o SecurityAffairs, as bibliotecas permitem o roubo de tokens de acesso e variáveis ??de ambiente do Discord de sistemas em execução, dando aos invasores acesso total à conta do Discord da vítima.

As cargas úteis dos pacotes variam de ladrões de informações a backdoors. Os especialistas apontaram que os pacotes maliciosos usam diferentes táticas de infecção, incluindo typosquatting, confusão de dependências e funcionalidade de trojan.

Felizmente, os pacotes foram imediatamente removidos do repositório npm antes de atingirem um grande número de downloads. Abaixo você encontrará a lista de pacotes descobertos pelos especialistas e disponibilizada pelo SecurityAffairs.

Lista de pacotes maliciosos encontrados no repositório NMP

PacoteVersão Carga útilMétodo de Infecção
prerequests-xcode1.0.4Trojan de acesso remoto ( RAT )Desconhecido
discord-selfbot-v1412.0.3Apanhador de tokens de discórdiaTyposquatting / Trojan (discord.js)
altivo11.5.1Apanhador de tokens de discórdiaTyposquatting / Trojan (discord.js)
discordsystem11.5.1Apanhador de tokens de discórdiaTyposquatting / Trojan (discord.js)
discord-villa1.0.0Apanhador de tokens de discórdiaTyposquatting / Trojan (discord.js)
correção de erro1.0.0PirateStealer  (malware Discord)Troiano
wafer-bind1.1.2Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
wafer-autocomplete1.25.0Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
wafer-beacon1.3.3Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
wafer-caas1.14.20Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
wafer-toggle1.15.4Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
wafer-geolocalização1.2.10Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
wafer-image1.2.2Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
forma de bolacha1.30.1Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
wafer-lightbox1.5.4Ladrão de variáveis ??de ambienteTyposquatting (wafer- *)
oitavo público1.836.609Ladrão de variáveis ??de ambienteTyposquatting (Octavius)
corretor de mensagens mrg9998.987.376Ladrão de variáveis ??de ambienteConfusão de dependência

Discord: os cibercriminosos têm mirado na plataforma para seus ataques maliciosos

pacotes-maliciosos-no-repositorio-npm-eram-usados-para-sequestrar-contas-discord

Os pesquisadores destacaram a disponibilidade de muitos agarradores de token Discord no GitHub, junto com as instruções de construção, devido à popularidade da plataforma como vetor de ataque. Isso significa que um invasor pode desenvolver facilmente seu malware personalizado sem grandes habilidades de programação em poucos minutos.

De acordo com um trecho do relatório dos pesquisadores, essas cargas úteis têm “menos probabilidade de serem capturadas por soluções antivírus, em comparação com um backdoor RAT completo, uma vez que um ladrão do Discord não modifica nenhum arquivo, não se registra em nenhum lugar (para ser executado na próxima inicialização, por exemplo ) e não executa operações suspeitas, como processos filho de geração.”

Além disso, os repositórios públicos se tornaram um instrumento útil para a distribuição de malware. “Oo servidor do repositório é um recurso confiável e a comunicação com ele não levanta a suspeita de qualquer antivírus ou firewall. Além disso, a facilidade de instalação por meio de ferramentas de automação, como o cliente NPM, fornece um vetor de ataque maduro”, finaliza.

Via: SecurityAffairs