Một loạt 25 thư viện JavaScript độc hại khác đã đến được cơ quan đăng ký gói NPM chính thức với mục tiêu đánh cắp mã thông báo Discord và các biến môi trường từ các hệ thống bị xâm phạm, hơn hai tháng sau khi 17 gói tương tự bị gỡ xuống.
Công ty bảo mật DevOps, JFrog cho biết, các thư viện được đề cập đã tận dụng kỹ thuật đánh máy và giả mạo thành các gói hợp pháp khác như color.js, crypto-js, discord.js, mark và noblox.js, công ty bảo mật DevOps, JFrog cho biết, quy các gói này là tác phẩm của “phần mềm độc hại mới làm quen các tác giả. “
Dưới đây là danh sách đầy đủ của các gói:
node-Colors-sync (Trình đánh cắp mã thông báo Discord) color-self (Trình đánh cắp mã thông báo Discord) color-self-2 (Trình đánh cắp mã thông báo Discord) wafer-text (Trình đánh cắp biến môi trường) wafer-countdown (Trình đánh cắp biến môi trường) wafer-template (Biến môi trường kẻ ăn cắp) wafer-darla (Kẻ đánh cắp biến môi trường) lemaaa (Kẻ đánh cắp mã thông báo Discord) adv-discord-tiện ích (Người đánh cắp mã thông báo Discord) tools-for-disord (Kẻ đánh cắp mã thông báo Discord) mynewpkg (Kẻ đánh cắp biến môi trường) Purple-bitch (Kẻ đánh cắp mã thông báo Discord) Purple-bitchs (Trình đánh cắp mã thông báo Discord) noblox.js-addons (Trình đánh cắp mã thông báo Discord) kakakaakaaa11aa (Trình bao Connectback) markjs (Trình tiêm mã từ xa Python) crypto-standarts (Trình tiêm mã từ xa Python) Các màu sắc -beta (Kẻ đánh cắp mã thông báo Discord) vera.js (Người đánh cắp mã thông báo bất hòa n kẻ ăn cắp) bảo vệ bất hòa (kẻ đánh cắp mã thông báo Discord)
Các mã thông báo Discord đã nổi lên như một phương tiện sinh lợi để các kẻ đe dọa truy cập trái phép vào các tài khoản lấy mật khẩu, cho phép các nhà điều hành khai thác quyền truy cập để truyền bá các liên kết độc hại qua các kênh Discord.
Các biến môi trường, được lưu trữ dưới dạng cặp khóa-giá trị, được sử dụng để lưu thông tin liên quan đến môi trường lập trình trên máy phát triển, bao gồm mã thông báo truy cập API, khóa xác thực, URL API và tên tài khoản.
Hai gói giả mạo, được đặt tên là markjs và crypto-standarts, nổi bật với vai trò là các gói trojan trùng lặp ở chỗ chúng hoàn toàn sao chép chức năng ban đầu của các thư viện nổi tiếng được đánh dấu và crypto-js, nhưng có thêm mã độc hại để đưa mã Python tùy ý vào từ xa .
Các nhà nghiên cứu Andrey Polkovnychenko và Shachar Menashe cho biết một gói phần mềm độc hại khác là lemaaa, “một thư viện được các kẻ đe dọa độc hại sử dụng để thao túng tài khoản Discord”. “Khi được sử dụng theo một cách nhất định, thư viện sẽ chiếm đoạt mã thông báo Discord bí mật được cấp cho nó, ngoài việc thực hiện chức năng tiện ích được yêu cầu.”
Cụ thể, lemaaa được thiết kế để sử dụng mã thông báo Discord được cung cấp để lấy thông tin thẻ tín dụng của nạn nhân, chiếm đoạt tài khoản bằng cách thay đổi mật khẩu và email của tài khoản, thậm chí xóa tất cả bạn bè của nạn nhân.
Vera.js, cũng là một công ty lấy mã thông báo Discord, thực hiện một cách tiếp cận khác để thực hiện các hoạt động đánh cắp mã thông báo của mình. Thay vì truy xuất thông tin từ bộ lưu trữ đĩa cục bộ, nó lấy các mã thông báo từ bộ nhớ cục bộ của trình duyệt web.
Các nhà nghiên cứu cho biết: “Kỹ thuật này có thể hữu ích để đánh cắp mã thông báo được tạo khi đăng nhập bằng trình duyệt web vào trang web Discord, trái ngược với khi sử dụng ứng dụng Discord (lưu mã thông báo vào bộ nhớ đĩa cục bộ)”.
Nếu có bất cứ điều gì, các phát hiện là mới nhất trong một loạt các tiết lộ phát hiện việc lạm dụng NPM để triển khai một loạt các trọng tải khác nhau, từ những kẻ đánh cắp thông tin cho đến các cửa hậu truy cập từ xa đầy đủ, khiến các nhà phát triển bắt buộc phải kiểm tra các gói phụ thuộc của họ để giảm thiểu lỗi chính tả và phụ thuộc các cuộc tấn công nhầm lẫn.
.
