NPM包存储库发现25个恶意JavaScript库 主要窃取Discord令牌

在17个类似的软件包被删除两个多月后，另一批25个恶意JavaScript库进入了官方 NPM 软件包注册表，目的是从受影响的系统中窃取Discord令牌和环境变量。

DevOps安全公司JFrog表示，这些有问题的库利用了错误识别技术，伪装成其他合法的软件包，如colors.js、crypto-js、discord.js、marked和noblox.js，并将这些软件包的作者定位为“恶意软件新手”。

完整的软件包列表如下：

node-colors-sync(Discord令牌窃取器)

color-self(Discord令牌窃取器)

color-self-2(Discord令牌窃取器)

wafer-text(环境变量窃取器)

wafer-countdown(环境变量窃取器)

wafer-template(环境变量窃取器)

wafer-darla(环境变量窃取器)

lemaaa(Discord令牌窃取器)

adv-discord-utility(Discord令牌窃取器)

tools-for-discord(Discord 令牌窃取程序)

mynewpkg(环境变量窃取程序)

Purple-bitch(Discord令牌窃取器)

Purple-bitches (Discord 令牌窃取者)

noblox.js-addons(Discord令牌窃取程序)

kakakaakaaa11aa(连接回壳)

markdjs(Python远程代码注入器)

crypto- standards(Python 远程代码注入器)

discord-selfbot-tools(Discord令牌窃取器)

discord.js-aployscript-v11(Discord令牌窃取器)

discord.js-selfbot-aployscript(Discord令牌窃取器)

discord.js-selfbot-aployed(Discord令牌窃取器)

discord.js-discord-selfbot-v4(Discord令牌窃取器)

colours-beta(Discord 令牌窃取程序)

vera.js(Discord令牌窃取器)

discord-protection(Discord令牌窃取器)

Discord令牌已经成为威胁行为者获取未经授权访问无密码账户有利可图的手段，使运营商能够利用访问权通过Discord渠道传播恶意链接。

环境变量作为键-值对存储，用于保存开发机器上与编程环境相关的信息，包括API访问令牌、身份验证密钥、API url和帐户名。

两个恶意包，分别名为markedjs 和crypto-standarts，作为重复木马包而引人注目，因为它们完全复制了知名库marked和crypto-js的原始功能，但具有额外的恶意代码以远程注入任意Python 代码。

另一个恶意程序是lemaaa，研究人员Andrey Polkovnychenko 和 Shachar Menashe称:“威胁行为者利用这个库来操纵Discord账户。”“当以某种方式使用时，库将劫持给它的秘密Discord令牌，除了执行请求的实用程序功能。”

具体来说，lemaaa 被设计为使用提供的Discord令牌来虹吸受害者的信用卡信息，通过更改帐户密码和电子邮件来接管帐户，甚至删除受害者的所有朋友。

Vera.js 也是一个Discord令牌抓取器，它采用不同的方法来执行其令牌盗窃活动。它不是从本地磁盘存储中检索信息，而是从Web浏览器的本地存储中检索令牌。

研究人员说：“这种技术有助于窃取使用Web浏览器登录Discord网站时生成的令牌，而不是使用Discord应用程序(将令牌保存到本地磁盘存储)时生成的令牌。”

如果有的话，这些发现是一系列披露中的最新发现，这些披露揭露了滥用 NPM 来部署从信息窃取器到完全远程访问后门的一系列有效负载，这使得开发人员必须检查他们的包依赖关系以减轻仿冒和依赖混乱攻击。

如果有什么不同的话，这些发现是一系列揭露滥用NPM部署有效负载(从信息窃取者到完全远程访问后门)的最新发现，这使得开发人员应该尽快检查他们的包依赖，以减少类型post和依赖混淆攻击。

大量调查显示，几乎所有现代企业应用程序中都不同程度地存在易受攻击的第三方代码库和开源代码。因此，当应用程序中的第三代码方库不能保持在最新状态时，对企业来说后果可能很严重。首先，违规风险可能会更高，其次是增加了补丁的复杂性。漏洞时间越长修补就越复杂，打补丁所需的时间就越长，破坏应用程序的风险也就越大。

随着DevsecOps实践，安全逐渐从一个专有的检测部门贯穿到整个开发流程当中，代码安全不仅由安全团队负责，开发人员更有责任确保代码质量和安全问题。安全可控的静态代码检测工具可以帮助开发人员减少30%到70%的安全漏洞，同时可以检测编码规范问题及缺陷，为开发人员查看修改代码问题节省大量时间成本提高开发效率。

文章来源：

thehackernews.com/2022/02/25-…