Il CSIRT Italia ha divulgato un avviso relativo alla distribuzione di 25 librerie JavaScript malevole tramite pacchetti NPM opportunamente predisposti.
Alcuni attori malevoli hanno utilizzato la tecnica denominata “typosquatting” per rendere disponibili repository NPM, apparentemente legittimi, al fine di collezionare informazioni sensibili e distribuire codice malevolo sui sistemi compromessi.
La gran parte dei pacchetti malevoli sono orientati al furto di token della nota piattaforma di messaggistica istantanea Discord al fine diffondere collegamenti verso risorse malevole tramite account/canali legittimi o collezionare informazioni sensibili, quali numeri di carte di credito.
I restanti pacchetti prevedono la distribuzione di codice Python malevolo, backdoor, reverse shell ed infostealer.
Nel dettaglio i pacchetti rilevati sono:
- node-colors-sync (Discord token stealer)
- color-self (Discord token stealer)
- color-self-2 (Discord token stealer)
- wafer-text (Environment variable stealer)
- wafer-countdown (Environment variable stealer)
- wafer-template (Environment variable stealer)
- wafer-darla (Environment variable stealer)
- lemaaa (Discord token stealer)
- adv-discord-utility (Discord token stealer)
- tools-for-discord (Discord token stealer)
- mynewpkg (Environment variable stealer)
- purple-bitch (Discord token stealer)
- purple-bitchs (Discord token stealer)
- noblox.js-addons (Discord token stealer)
- kakakaakaaa11aa (Connectback shell)
- markedjs (Python remote code injector)
- crypto-standarts (Python remote code injector)
- discord-selfbot-tools (Discord token stealer)
- discord.js-aployscript-v11 (Discord token stealer)
- discord.js-selfbot-aployscript (Discord token stealer)
- discord.js-selfbot-aployed (Discord token stealer)
- discord.js-discord-selfbot-v4 (Discord token stealer)
- colors-beta (Discord token stealer)
- vera.js (Discord token stealer)
- discord-protection (Discord token stealer).