Zlonamjerni npm paketi kradu Discord tokene

DevOps sigurnosna tvrtka JFrog otkrila je 17 novih zlonamjernih paketa u npm (Node.js package manager) repozitoriju koji namjerno žele napasti i ukrasti korisnikove Discord tokene.

Shachar Menashe, viši direktor sigurnosnog istraživanja JFrog, i Andrey Polkovnychenko objasnio da otimanje korisnikovog Discord tokena (korisničke vjerodajnice) učinkovito daje napadaču potpunu kontrolu nad korisničkim računom.

"Ova vrsta napada ima ozbiljne implikacije ako se dobro izvede, au ovom slučaju javni alati za hakiranje učinili su takav napad dovoljno lakim čak i za hakera početnika." rekao je Menashe. "Preporučamo organizacijama da poduzmu mjere opreza i upravljaju svojom upotrebom npm-a za upravljanje softverom kako bi smanjile rizik od uvođenja zlonamjernog koda u svoje aplikacije."

Njih dvoje su objasnili da su korisni učinci paketa različiti, u rasponu od infostealera do backdoora s punim udaljenim pristupom. Dodali su da paketi imaju različite taktike zaraze, uključujući typosquatting, zabunu ovisnosti i funkcionalnost trojanaca.

Paketi su uklonjeni iz npm repozitorija, a tim za sigurnosno istraživanje JFrog rekao je da su uklonjeni "prije nego što su uspjeli skupiti veliki broj preuzimanja".

JŽaba zabilježeno da je došlo do porasta zlonamjernog softvera usmjerenog na krađu Discord tokena zbog činjenice da platforma, popularna aplikacija za video/glasovni/tekstualni chat, sada ima više od 350 milijuna registriranih korisnika.

---

Također: Najbolje aplikacije za video chat 2021

---

"Zbog popularnosti ovog opterećenja napada, na GitHubu je objavljeno dosta alata za hvatanje tokena Discord s uputama za izgradnju. Napadač može uzeti jedan od ovih predložaka i razviti prilagođeni zlonamjerni softver bez velikih programerskih vještina -- što znači da svaki haker početnik to može učiniti s lakoćom u roku od nekoliko minuta," objasnili su istraživači.

Njihovo izvješće o situaciji napominje da je JFrog pronašao "baraž zlonamjernog softvera hostiranog i isporučenog putem repozitoriji softvera otvorenog koda", dodajući da su javni repozitoriji poput PyPI i npm postali praktičan instrument za malware distribucija.

"Poslužitelj repozitorija pouzdan je resurs i komunikacija s njim ne izaziva sumnju u bilo kakav antivirus ili vatrozid. Osim toga, jednostavnost instalacije putem alata za automatizaciju, kao što je npm klijent, pruža zreo vektor napada," rekli su istraživači.

John Bambenek, glavni lovac na prijetnje u Netenrichu, rekao je da su stručnjaci za kibernetičku sigurnost već neko vrijeme vidjeli pokušaje umetanja zlonamjernog koda ili postavljanja zlonamjernih biblioteka u PyPI i npm.

"Automatizacija je sljedeći logičan korak za napadače da povećaju broj žrtava nad kojima imaju kontrolu", rekao je Bambenek za ZDNet. "Zlonamjerni kod obično nije na mjestu jako dugo, ali ako to učinite u većem obimu, velike su šanse da ćete žrtve skupljati velikom brzinom."