Phát hiện 17 gói mã độc trên kho lưu trữ gói NPM, chiếm quyền điều khiển máy chủ Discord

04/06/2014
37
446 bài viết
Phát hiện 17 gói mã độc trên kho lưu trữ gói NPM, chiếm quyền điều khiển máy chủ Discord
Các nhà nghiên cứu của JFrog vừa phát hiện 17 gói độc hại trong kho lưu trữ NPM (trình quản lý gói Node.js) được phát triển để chiếm quyền điều khiển máy chủ Discord.
Các thư viện cho phép đánh cắp mã thông báo truy cập Discord và các biến môi trường từ các hệ thống đang chạy, cấp cho những kẻ tấn công toàn quyền truy cập vào tài khoản Discord của nạn nhân.
Các chuyên gia chỉ ra rằng các gói độc hại sử dụng các chiến thuật lây nhiễm khác nhau.
Chúng tôi đã tiết lộ 17 gói độc hại này cho những người duy trì mã npm và các gói này đã nhanh chóng bị xóa khỏi kho lưu trữ npm - một dấu hiệu tốt cho thấy những gói này thực sự đang gây ra sự cố”. “May mắn thay, các gói này đã bị xóa trước khi chúng có thể tăng số lượng lớn tải xuống (dựa trên bản ghi npm), vì vậy chúng tôi đã tránh được một tình huống tương tự như lần tiết lộ PyPI gần đây nhất của chúng tôi, nơi các gói độc hại đã được tải xuống hàng chục nghìn lần trước khi chúng đã được phát hiện và loại bỏ".
Tin tốt là các gói đã được gỡ bỏ nhanh chóng khỏi kho lưu trữ npm trước khi chúng đạt được một số lượng lớn tải xuống.
discord.jpg
Dưới đây là danh sách các gói được phát hiện bởi các chuyên gia:
Package Version Payload Infection Method

prerequests-xcode 1.0.4 Remote Access Trojan (RAT) Unknown

discord-selfbot-v14 12.0.3 Discord token grabber Typosquatting/Trojan (discord.js)

discord-lofy 11.5.1 Discord token grabber Typosquatting/Trojan (discord.js)

discordsystem 11.5.1 Discord token grabber Typosquatting/Trojan (discord.js)

discord-vilao 1.0.0 Discord token grabber Typosquatting/Trojan (discord.js)

fix-error 1.0.0 PirateStealer (Discord malware) Trojan

wafer-bind 1.1.2 Environment variable stealer Typosquatting (wafer-*)

wafer-autocomplete 1.25.0 Environment variable stealer Typosquatting (wafer-*)

wafer-beacon 1.3.3 Environment variable stealer Typosquatting (wafer-*)

wafer-caas 1.14.20 Environment variable stealer Typosquatting (wafer-*)

wafer-toggle 1.15.4 Environment variable stealer Typosquatting (wafer-*)

wafer-geolocation 1.2.10 Environment variable stealer Typosquatting (wafer-*)

wafer-image 1.2.2 Environment variable stealer Typosquatting (wafer-*)

wafer-form 1.30.1 Environment variable stealer Typosquatting (wafer-*)

wafer-lightbox 1.5.4 Environment variable stealer Typosquatting (wafer-*)

octavius-public 1.836.609 Environment variable stealer Typosquatting (octavius)

mrg-message-broker 9998.987.376 Environment variable stealer Dependency confusion

Các tác nhân đe dọa đằng sau các gói này tập trung vào các tài khoản Discord vì nhiều lý do như:
Dùng máy chủ Discord như một phần của cơ sở hạ tầng lệnh & kiểm soát (C2) đằng sau chiến dịch phần mềm độc hại;
Dùng máy chủ Discord như một kênh lọc ẩn danh;
Phát tán phần mềm độc hại cho người dùng Discord;
Bán tài khoản trả phí Discord Nitro bị đánh cắp;
Các nhà nghiên cứu đã nhấn mạnh tính khả dụng của rất nhiều công cụ lấy mã thông báo Discord trên GitHub, cùng với các hướng dẫn xây dựng, do sự phổ biến của nền tảng này như một vectơ tấn công. Điều này có nghĩa là kẻ tấn công có thể dễ dàng phát triển phần mềm độc hại tùy chỉnh của nó mà không cần kỹ năng lập trình sâu rộng trong vài phút.

Nguồn: Security Affair
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
discord npm
Bên trên