Eine weitere Gruppe von 25 bösartigen JavaScript-Bibliotheken hat ihren Weg in die offizielle NPM-Paketregistrierung gefunden, um Discord-Token und Umgebungsvariablen von kompromittierten Systemen zu stehlen, mehr als zwei Monate nachdem 17 ähnliche Pakete entfernt wurden.
Die fraglichen Bibliotheken nutzten Typosquatting-Techniken und gaben sich als andere legitime Pakete wie colors.js, crypto-js, discord.js, marked und noblox.js aus, so das DevOps-Sicherheitsunternehmen JFrog, das die Pakete als das Werk „unerfahrener Malware-Autoren“ bezeichnete.
Die vollständige Liste der Pakete findest du unten –
node-colors-sync (Discord Token Stealer)
color-self (Discord Token Stealer)
color-self-2 (Discord Token Stealer)
wafer-text (Umgebungsvariablenklauer)
wafer-countdown (Umgebungsvariablenklauer)
wafer-template (Umgebungsvariable stealer)
wafer-darla (Umgebungsvariablenklauer)
lemaaa (Discord-Token-Klauer)
adv-discord-utility (Discord-Token-Klauer)
tools-for-discord (Discord Token Stealer)
mynewpkg (Umgebungsvariablenklauer)
purple-bitch (Discord-Token-Klauer)
purple-bitchs (Discord-Token-Klauer)
noblox.js-addons (Discord Token Stealer)
kakakaakaaa11aa (Connectback-Shell)
markedjs (Python Remote Code Injector)
crypto-standarts (Python Remote Code Injector)
discord-selfbot-tools (Discord Token Stealer)
discord.js-aployscript-v11 (Discord-Token-Stealer)
discord.js-selfbot-aployscript (Discord Token Stealer)
discord.js-selfbot-aployed (Discord Token Stealer)
discord.js-discord-selfbot-v4 (Discord-Token-Stealer)
colors-beta (Discord Token Stealer)
vera.js (Discord Token Stealer)
discord-protection (Discord-Token-Stealer)
Discord-Tokens haben sich für Bedrohungsakteure als lukratives Mittel erwiesen, um unbefugten Zugang zu Konten ohne Passwort zu erlangen, damit die Betreiber den Zugang nutzen können, um bösartige Links über Discord-Kanäle zu verbreiten.
Umgebungsvariablen, die als Schlüssel-Wert-Paare gespeichert werden, dienen dazu, Informationen über die Programmierumgebung auf dem Entwicklungscomputer zu speichern, darunter API-Zugangs-Tokens, Authentifizierungsschlüssel, API-URLs und Kontonamen.
Zwei Rogue-Pakete namens markedjs und crypto-standarts zeichnen sich durch ihre Rolle als doppelte Trojanerpakete aus, da sie die ursprüngliche Funktionalität der bekannten Bibliotheken marked und crypto-js vollständig nachbilden, aber zusätzlichen bösartigen Code enthalten, um beliebigen Python-Code aus der Ferne einzuschleusen.
Ein weiteres bösartiges Paket ist lemaaa, „eine Bibliothek, die von bösartigen Bedrohungsakteuren zur Manipulation von Discord-Konten verwendet werden soll“, so die Forscher Andrey Polkovnychenko und Shachar Menashe. „Wenn die Bibliothek auf eine bestimmte Art und Weise verwendet wird, entwendet sie das geheime Discord-Token, das ihr übergeben wurde, und führt zusätzlich die gewünschte Funktion aus.
Konkret wird lemaaa so programmiert, dass es das bereitgestellte Discord-Token verwendet, um die Kreditkartendaten des Opfers abzuschöpfen, das Konto zu übernehmen, indem es das Konto-Passwort und die E-Mail ändert, und sogar alle Freunde des Opfers zu entfernen.
Vera.js, ebenfalls ein Discord-Token-Grabber, wählt einen anderen Ansatz, um den Token-Diebstahl durchzuführen. Anstatt die Informationen vom lokalen Festplattenspeicher abzurufen, holt er sich die Token aus dem lokalen Speicher des Webbrowsers.
„Diese Technik kann hilfreich sein, um Token zu stehlen, die bei der Anmeldung über den Webbrowser auf der Discord-Website generiert wurden, im Gegensatz zur Verwendung der Discord-App (die das Token auf dem lokalen Festplattenspeicher speichert)“, so die Forscher.
Die Entdeckungen sind die jüngsten in einer Reihe von Enthüllungen, die den Missbrauch von NPM zur Verbreitung einer Reihe von Schadprogrammen aufdecken, die von Informationsdiebstahl bis hin zu vollständigen Fernzugriffs-Hintertüren reichen, so dass Entwickler ihre Paketabhängigkeiten unbedingt überprüfen müssen, um Angriffe durch Typosquatting und Abhängigkeitsverwirrung zu verhindern.