Os cibercriminosos estão cada vez mais “espertos” e têm buscado suas vítimas em todas as partes. Agora, por exemplo, a empresa de segurança cibernética JFrog encontrou 17 pacotes maliciosos no repositório de pacotes NPM (gerenciador de pacotes Node.js) sequestrando servidores Discord.
Os pacotes maliciosos encontrados foram desenvolvidos para sequestrar servidores Discord. De acordo com o SecurityAffairs, as bibliotecas permitem o roubo de tokens de acesso e variáveis ??de ambiente do Discord de sistemas em execução, dando aos invasores acesso total à conta do Discord da vítima.
As cargas úteis dos pacotes variam de ladrões de informações a backdoors. Os especialistas apontaram que os pacotes maliciosos usam diferentes táticas de infecção, incluindo typosquatting, confusão de dependências e funcionalidade de trojan.
Felizmente, os pacotes foram imediatamente removidos do repositório npm antes de atingirem um grande número de downloads. Abaixo você encontrará a lista de pacotes descobertos pelos especialistas e disponibilizada pelo SecurityAffairs.
Lista de pacotes maliciosos encontrados no repositório NMP
| Pacote | Versão | Carga útil | Método de Infecção |
| prerequests-xcode | 1.0.4 | Trojan de acesso remoto ( RAT ) | Desconhecido |
| discord-selfbot-v14 | 12.0.3 | Apanhador de tokens de discórdia | Typosquatting / Trojan (discord.js) |
| altivo | 11.5.1 | Apanhador de tokens de discórdia | Typosquatting / Trojan (discord.js) |
| discordsystem | 11.5.1 | Apanhador de tokens de discórdia | Typosquatting / Trojan (discord.js) |
| discord-villa | 1.0.0 | Apanhador de tokens de discórdia | Typosquatting / Trojan (discord.js) |
| correção de erro | 1.0.0 | PirateStealer (malware Discord) | Troiano |
| wafer-bind | 1.1.2 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| wafer-autocomplete | 1.25.0 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| wafer-beacon | 1.3.3 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| wafer-caas | 1.14.20 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| wafer-toggle | 1.15.4 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| wafer-geolocalização | 1.2.10 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| wafer-image | 1.2.2 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| forma de bolacha | 1.30.1 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| wafer-lightbox | 1.5.4 | Ladrão de variáveis ??de ambiente | Typosquatting (wafer- *) |
| oitavo público | 1.836.609 | Ladrão de variáveis ??de ambiente | Typosquatting (Octavius) |
| corretor de mensagens mrg | 9998.987.376 | Ladrão de variáveis ??de ambiente | Confusão de dependência |
Discord: os cibercriminosos têm mirado na plataforma para seus ataques maliciosos
Os pesquisadores destacaram a disponibilidade de muitos agarradores de token Discord no GitHub, junto com as instruções de construção, devido à popularidade da plataforma como vetor de ataque. Isso significa que um invasor pode desenvolver facilmente seu malware personalizado sem grandes habilidades de programação em poucos minutos.
De acordo com um trecho do relatório dos pesquisadores, essas cargas úteis têm “menos probabilidade de serem capturadas por soluções antivírus, em comparação com um backdoor RAT completo, uma vez que um ladrão do Discord não modifica nenhum arquivo, não se registra em nenhum lugar (para ser executado na próxima inicialização, por exemplo ) e não executa operações suspeitas, como processos filho de geração.”
Além disso, os repositórios públicos se tornaram um instrumento útil para a distribuição de malware. “Oo servidor do repositório é um recurso confiável e a comunicação com ele não levanta a suspeita de qualquer antivírus ou firewall. Além disso, a facilidade de instalação por meio de ferramentas de automação, como o cliente NPM, fornece um vetor de ataque maduro”, finaliza.
Via: SecurityAffairs