十几个恶意NPM软件包在劫持Discord服务器时被抓获

NPM软件包注册中心发现了至少17个带有恶意软件的软件包，增加了最近通过PyPi和RubyGems等开源软件库托管和交付的一系列恶意软件。

DevOps公司JFrog表示，现在被拆除的这些库旨在从用户的计算机上获取不一致的访问令牌和环境变量，并获得对受害者系统的完全控制。

研究人员安德烈·波尔科夫尼琴科（Andrey Polkovnychenko）和沙哈尔·梅纳什（Shachar Menashe）在周三发布的一份报告中说：“这些软件包的有效载荷多种多样，从信息窃取者到完全远程访问的后门不等。”。“此外，这些软件包有不同的感染策略，包括键入错误、依赖项混淆和特洛伊木马功能。”

包裹清单如下-

• 预请求xcode（版本1.0.4）
• discord-selfbot-v14（版本12.0.3）
• discord lofy（11.5.1版）
• discordsystem（版本11.5.1）
• discord vilao（1.0.0版）
• 修复错误（版本1.0.0）
• 晶圆绑定（版本1.1.2）
• 晶圆自动完成（1.25.0版）
• 晶圆信标（1.3.3版）
• 晶圆caas（版本1.14.20）
• 晶圆开关（1.15.4版）
• 晶圆地理定位（版本1.2.10）
• 晶圆图像（版本1.2.2）
• 晶圆形状（版本1.30.1）
• 晶圆灯箱（1.5.4版）
• octavius public（版本1.836.609）
• mrg message broker（版本9998.987.376）

正如之前的研究所证实的那样，Discord和Slack等协作和通信工具已经成为网络罪犯的便捷机制，Discord服务器集成到攻击链中，用于远程控制受感染的机器，甚至从受害者那里过滤数据。

网络安全公司Zscaler在今年2月早些时候的一份分析报告中指出：“网络犯罪分子正在使用Discord CDN托管恶意文件，以及用于指挥与控制（C&C）通信。”。“由于静态内容分发服务，在威胁参与者中，托管恶意附件非常流行，即使在从Discord中删除实际文件后，这些附件仍然可以公开访问。”

鉴于这些披露，不足为奇的是，窃取Discord访问令牌可能会使威胁参与者将该平台用作秘密数据过滤渠道，将恶意软件分发给其他Discord用户，甚至将Discord Nitro premium帐户出售给其他第三方，这些第三方随后可以将其用于自己的活动。

更令人不安的是，“prerequests xcode”软件包充当了一个成熟的远程访问特洛伊木马，一个节点。JS DiscordRAT端口，用于捕获屏幕截图、收集剪贴板数据、执行任意VBScript和PowerShell代码、窃取密码和下载恶意文件，有效地授予对手接管开发人员系统的能力。

如果说有什么区别的话，这一发展加剧了一种日益“令人不安的趋势”，即使用流氓软件包作为一种隐蔽的妥协载体，以促进包括供应链攻击在内的一系列恶意活动。

研究人员说：“公共存储库已经成为恶意软件传播的便捷工具：存储库的服务器是一个受信任的资源，与它的通信不会引起任何防病毒或防火墙的怀疑。”。此外，通过NPM客户端等自动化工具安装的简易性，提供了成熟的攻击向量。