25 Pustaka JavaScript Berbahaya Pada NPM Package Repository

Lebih dari dua bulan setelah 17 paket identik dihapus, batch lain dari 25 perpustakaan JavaScript berbahaya telah menemukan jalannya ke registri paket NPM resmi dengan tujuan mendapatkan token Discord dan variabel lingkungan dari PC yang terkena dampak.

Menurut perusahaan keamanan DevOps JFrog, perpustakaan yang dimaksud menggunakan taktik salah ketik dan menyamar sebagai paket valid lainnya seperti warna.js, crypto-js, discord.js, marked, dan noblox.js, dan merupakan produk dari "pengembang malware pemula."

Daftar lengkap paket ditunjukkan di bawah ini :

• node-colors-sync (Pencuri token Discord)
• color-self (Pencuri token Discord)
• color-self-2 (Pencuri token Discord)
• wafer-text (Pencuri variabel lingkungan)
• wafer-countdown (Pencuri variabel lingkungan)
• wafer-template (Pencuri variabel lingkungan)
• wafer-darla (Pencuri variabel lingkungan)
• lemaaa (Pencuri token Discord)
• adv-discord-utility (Pencuri token Discord)
• tools-for-discord (Pencuri token Discord)
• mynewpkg (Pencuri variabel lingkungan)
• purple-bitch (Pencuri token Discord)
• purple-bitchs (Pencuri token Discord)
• noblox.js-addons (Pencuri token Discord)
• kakakaakaaa11aa (Shell connectback)
• markedjs (Python remote code injector)
• crypto-standarts (Python remote code injector)
• discord-selfbot-tools (Pencuri token Discord)
• discord.js-aployscript-v11 (Pencuri token Discord)
• discord.js-selfbot-aployscript (Pencuri token Discord)
• discord.js-selfbot-aployed (Pencuri token Discord)
• discord.js-discord-selfbot-v4 (Pencuri token Discord)
• colors-beta (Pencuri token Discord)
• vera.js (Pencuri token Discord)
• discord-protection (Pencuri token Discord)

Token Discord telah muncul sebagai alat yang menguntungkan bagi aktor ancaman untuk memperoleh akses ilegal ke akun tanpa kata sandi, memungkinkan operator untuk menggunakan akses untuk menyebarkan tautan berbahaya melalui saluran Discord.

Variabel lingkungan, yang disimpan sebagai pasangan nilai kunci, digunakan pada komputer pengembangan untuk menyimpan informasi tentang lingkungan pemrograman, seperti token akses API, kunci otentikasi, URL API, dan nama akun.

Dua paket nakal, markedjs dan crypto-standarts, menonjol sebagai paket trojan duplikat karena mereka dengan sempurna meniru fungsi asli perpustakaan terkenal yang ditandai dan crypto-js, tetapi mengandung kode berbahaya ekstra untuk menyuntikkan kode Python sewenang-wenang dari jarak jauh.

Lemaaa adalah paket berbahaya lainnya, yang digambarkan sebagai "perpustakaan yang dimaksudkan untuk digunakan oleh aktor ancaman bermusuhan untuk mempengaruhi akun Discord" oleh peneliti Andrey Polkovnychenko dan Shachar Menashe. "Ketika digunakan dengan cara tertentu, perpustakaan akan membajak token Discord rahasia yang disediakan untuk itu selain mengeksekusi fungsi utilitas yang ditentukan."

Lemaaa dirancang khusus untuk mengeksploitasi token Discord yang disediakan untuk mencuri informasi kartu kredit korban, mengambil alih akun dengan mengubah kata sandi dan email, dan bahkan menghapus semua teman korban.

Vera.js, grabber token Discord lainnya, mengambil metode yang berbeda untuk mencuri token. Alih-alih mengumpulkan informasi dari penyimpanan disk lokal, ia mengambil token dari penyimpanan lokal browser web.

"Pendekatan ini dapat berguna untuk mencuri token yang dibuat saat masuk menggunakan browser web ke situs web Discord, sebagai lawan ketika masuk menggunakan aplikasi Discord (yang menyimpan token ke penyimpanan disk lokal)," kata para peneliti.

Temuan ini, jika ada, adalah yang terbaru dalam serangkaian wahyu yang mengungkap penyalahgunaan NPM untuk menyebarkan berbagai muatan mulai dari pencuri info hingga backdoor akses jarak jauh penuh, sehingga penting bagi pengembang untuk memeriksa dependensi paket mereka untuk mengurangi kesalahan ketik dan serangan kebingungan ketergantungan.