25 schadelijke JavaScript-bibliotheken gedistribueerd via officiële NPM-pakketrepository

NPM Package Repository Nachrichten

Een andere batch van 25 kwaadaardige JavaScript-bibliotheken heeft hun weg gevonden naar het officiële NPM-pakketregister met als doel Discord-tokens en omgevingsvariabelen van gecompromitteerde systemen te stelen, meer dan twee maanden nadat 17 vergelijkbare pakketten waren verwijderd.

De bibliotheken in kwestie maakten gebruik van typosquatting-technieken en deden zich voor als andere legitieme pakketten zoals colors.js, crypto-js, discord.js, gemarkeerd en noblox.js, zei DevOps-beveiligingsbedrijf JFrog, die de pakketten toeschreef als het werk van “beginnende malware auteurs.”

De volledige lijst met pakketten staat hieronder –

  • node-colors-sync (Discord token stealer)
  • kleur-zelf (Discord token stealer)
  • color-self-2 (Discord token stealer)
  • wafer-text (omgevingsvariabele stealer)
  • wafer-countdown (omgevingsvariabele stealer)
  • wafer-sjabloon (omgevingsvariabele stealer)
  • wafer-darla (omgevingsvariabele stealer)
  • lemaaa (Discord-token-stealer)
  • adv-discord-utility (Discord-token-stealer)
  • tools-for-discord (Discord token stealer)
  • mynewpkg (Omgevingsvariabele stealer)
  • paarse teef (Discord token stealer)
  • paarse teven (Discord token stealer)
  • noblox.js-addons (Discord-token-stealer)
  • kakakaakaaa11aa (Connectback-shell)
  • gemarkeerdjs (Python-afstandsbedieningscode-injector)
  • crypto-standaarden (Python remote code injector)
  • discord-selfbot-tools (Discord token stealer)
  • discord.js-aployscript-v11 (Discord-token-stealer)
  • discord.js-selfbot-aployscript (Discord token-stealer)
  • discord.js-selfbot-aployed (Discord token-stealer)
  • discord.js-discord-selfbot-v4 (Discord token-stealer)
  • kleuren-bèta (Discord token stealer)
  • vera.js (Discord-token-stealer)
  • discord-bescherming (Discord token stealer)

Discord-tokens zijn naar voren gekomen als lucratieve middelen voor bedreigingsactoren om ongeautoriseerde toegang tot accounts zonder wachtwoord te krijgen, waardoor de operators de toegang kunnen misbruiken om kwaadaardige links via Discord-kanalen te verspreiden.

Omgevingsvariabelen, opgeslagen als sleutel/waarde-parenworden gebruikt om informatie met betrekking tot de programmeeromgeving op de ontwikkelmachine op te slaan, inclusief API-toegangstokens, authenticatiesleutels, API-URL’s en accountnamen.

Twee frauduleuze pakketten, gemarkeerdjs en crypto-standaards genaamd, onderscheiden zich door hun rol als dubbele trojan-pakketten omdat ze de originele functionaliteit van bekende bibliotheken volledig repliceren gemarkeerd en crypto-jsmaar bevatten aanvullende kwaadaardige code om op afstand willekeurige Python-code te injecteren.

Een ander kwaadaardig pakket is lemaaa, “een bibliotheek die bedoeld is om door kwaadwillende dreigingsactoren te worden gebruikt om Discord-accounts te manipuleren”, onderzoekers Andrey Polkovnychenko en Shachar Menashe. zei. “Wanneer het op een bepaalde manier wordt gebruikt, zal de bibliotheek het geheime Discord-token kapen dat eraan is gegeven, naast het uitvoeren van de gevraagde hulpprogramma-functie.”

In het bijzonder is lemaaa ontworpen om de meegeleverde Discord-token te gebruiken om de creditcardgegevens van het slachtoffer over te hevelen, het account over te nemen door het accountwachtwoord en e-mailadres te wijzigen en zelfs alle vrienden van het slachtoffer te verwijderen.

Vera.js, ook een Discord-tokengrabber, heeft een andere aanpak om zijn tokendiefstalactiviteiten uit te voeren. In plaats van de informatie op te halen uit de lokale schijfopslag, haalt het de tokens op uit de lokale opslag van een webbrowser.

“Deze techniek kan handig zijn om tokens te stelen die zijn gegenereerd bij het inloggen met de webbrowser op de Discord-website, in tegenstelling tot bij het gebruik van de Discord-app (die het token op de lokale schijfopslag opslaat)”, aldus de onderzoekers.

De bevindingen zijn in ieder geval de laatste in een reeks onthullingen die het misbruik van NPM blootleggen om een ​​reeks nuttige ladingen in te zetten, variërend van info-stealers tot volledige backdoors voor toegang op afstand, waardoor het absoluut noodzakelijk is dat ontwikkelaars hun pakketafhankelijkheden inspecteren om te verminderen typosquatting en afhankelijkheidsverwarringsaanvallen.

David
Rate author
Hackarizona