25 Library JavaScript Berbahaya pada NPM

Kumpulan Library JavaScript Berbahaya - Lebih dari dua bulan setelah 17 paket identik dihapus, batch lain dari 25 library JavaScript berbahaya telah menemukan jalannya ke registri paket NPM resmi dengan tujuan mendapatkan token Discord dan variabel environment dari PC yang terkena dampak.

Menurut perusahaan keamanan DevOps JFrog, library yang dimaksud menggunakan taktik typosquatting dan menyamar sebagai paket valid lainnya seperti warna.js, crypto-js, discord.js, marked, dan noblox.js, dan merupakan produk dari "malware developer pemula."

Daftar lengkap paket javascript berbahaya ditunjukkan di bawah ini :

• node-colors-sync (Stealer token Discord)
• color-self (Stealer token Discord)
• color-self-2 (Stealer token Discord)
• wafer-text (Stealer variabel environment)
• wafer-countdown (Stealer variabel environment)
• wafer-template (Stealer variabel environment)
• wafer-darla (Stealer variabel environment)
• lemaaa (Stealer token Discord)
• adv-discord-utility (Stealer token Discord)
• tools-for-discord (Stealer token Discord)
• mynewpkg (Stealer variabel environment)
• purple-bitch (Stealer token Discord)
• purple-bitchs (Stealer token Discord)
• noblox.js-addons (Stealer token Discord)
• kakakaakaaa11aa (Shell connectback)
• markedjs (Python remote code injector)
• crypto-standarts (Python remote code injector)
• discord-selfbot-tools (Stealer token Discord)
• discord.js-aployscript-v11 (Stealer token Discord)
• discord.js-selfbot-aployscript (Stealer token Discord)
• discord.js-selfbot-aployed (Stealer token Discord)
• discord.js-discord-selfbot-v4 (Stealer token Discord)
• colors-beta (Stealer token Discord)
• vera.js (Stealer token Discord)
• discord-protection (Stealer token Discord)

Token Discord telah muncul sebagai alat yang menguntungkan bagi aktor ancaman untuk memperoleh akses ilegal ke akun tanpa kata sandi, memungkinkan operator untuk menggunakan akses untuk menyebarkan tautan berbahaya melalui saluran Discord.

Variabel environment, yang disimpan sebagai pasangan nilai kunci, digunakan pada komputer pengembangan untuk menyimpan informasi tentang environment pemrograman, seperti token akses API, kunci otentikasi, URL API, dan nama akun.

Dua paket nakal, markedjs dan crypto-standarts, menjadi perhatian sebagai paket trojan duplikat karena mampu meniru fungsi asli dari library terkenal seperti crypto-js dengan sempurna. Namun, keduanya mengandung kode berbahaya tambahan yang dapat menyuntikkan kode Python secara remote.

Lemaaa adalah paket berbahaya lainnya, yang digambarkan sebagai "Library yang dimaksudkan untuk digunakan oleh aktor ancaman bermusuhan untuk mempengaruhi akun Discord" oleh peneliti Andrey Polkovnychenko dan Shachar Menashe. "Ketika digunakan dengan cara tertentu, library akan membajak token Discord rahasia yang disediakan untuk itu selain mengeksekusi fungsi utilitas yang ditentukan."

Lemaaa dirancang khusus untuk mengeksploitasi token Discord yang disediakan untuk mencuri informasi kartu kredit korban, mengambil alih akun dengan mengubah kata sandi dan email, dan bahkan menghapus semua teman korban.

Vera.js, grabber token Discord lainnya, mengambil metode yang berbeda untuk mencuri token. Alih-alih mengumpulkan informasi dari penyimpanan disk lokal, ia mengambil token dari penyimpanan lokal browser web.

"Cara ini dapat berguna untuk mencuri token yang dibuat saat masuk menggunakan browser web ke situs web Discord, sebagai lawan ketika masuk menggunakan aplikasi Discord (yang menyimpan token ke penyimpanan disk lokal)," kata para peneliti.

Temuan ini, jika ada, adalah yang terbaru dalam serangkaian wahyu yang mengungkap penyalahgunaan NPM untuk menyebarkan berbagai muatan mulai dari pencuri info hingga backdoor akses jarak jauh penuh, sehingga penting bagi pengembang untuk memeriksa dependensi paket mereka untuk mengurangi kesalahan ketik dan serangan kebingungan ketergantungan.