25个通过官方NPM软件包存储库分发的恶意JavaScript库

另一批25个恶意JavaScript库已进入官方NPM软件包注册中心，目的是从受损系统中窃取不和谐令牌和环境变量，而此前两个多月，已有17个类似软件包被取下。

这些图书馆利用排版技术，伪装成其他合法的软件包，比如颜色。js，加密js，不和谐。js、Mark和noblox。DevOps安全公司JFrog称，这些软件包是“新手恶意软件作者”的作品

The complete list of packages is below –

• 节点颜色同步（不和谐令牌窃取器）
• 颜色自我（不和谐令牌窃取者）
• color-self-2 (Discord token stealer)
• 晶圆文本（环境变量窃取器）
• 晶圆倒计时（环境变量窃取器）
• 晶圆模板（环境变量窃取器）
• 威弗·达拉（环境变量窃贼）
• lemaaa（不和谐令牌窃取者）
• adv discord实用程序（discord令牌窃取器）
• discord工具（discord令牌窃取者）
• mynewpkg（环境变量窃取器）
• 紫色婊子（不和谐令牌窃取者）
• 紫色比特（不和谐令牌窃取者）
• 诺布洛克斯。js插件（Discord令牌窃取者）
• Kakakaa11aa（连接背壳）
• markedjs（Python远程代码注入程序）
• 加密标准（Python远程代码注入程序）
• discord selfbot工具（discord令牌窃取者）
• 不和。js-aployscript-v11（不和谐令牌窃取者）
• 不一致js selfbot aployscript（不和谐令牌窃取者）
• 不一致js selfbot aployed（不和谐令牌窃取者）
• 不一致js-discord-selfbot-v4（discord令牌窃取者）
• 颜色测试版（Discord token stealer）
• 维拉。js（不和谐令牌窃取者）
• 不和谐保护（不和谐令牌窃取者）

Discord令牌已成为威胁参与者获取未经授权的无密码帐户访问权限的有利手段，使运营商能够利用该访问权限通过Discord渠道传播恶意链接。

环境变量存储为键值对，用于在开发机器上保存与编程环境有关的信息，包括API访问令牌、身份验证密钥、API URL和帐户名。

两个名为markedjs和crypto standarts的流氓软件包因其作为重复特洛伊木马软件包的作用而脱颖而出，因为它们完全复制了著名的marked和crypto js库的原始功能，但具有额外的恶意代码，可远程注入任意Python代码。

另一个恶意软件包是lemaaa，研究人员Andrey Polkovnychenko和Shachar Menashe说，“这是一个恶意威胁行为人用来操纵不和谐账户的库。”。“当以某种方式使用时，库除了执行请求的实用程序功能外，还会劫持提供给它的秘密不和令牌。”

具体来说，lemaaa的设计目的是使用提供的Discord令牌窃取受害者的信用卡信息，通过更改帐户密码和电子邮件接管帐户，甚至删除受害者的所有朋友。

维拉。js也是一个Discord token grabber，它采取了不同的方法来执行其token盗窃活动。它不是从本地磁盘存储中检索信息，而是从web浏览器的本地存储中检索令牌。

研究人员说：“这项技术有助于窃取使用网络浏览器登录Discord网站时生成的令牌，而不是使用Discord应用程序（将令牌保存到本地磁盘存储）时生成的令牌。”。

如果有什么区别的话，这些发现是一系列披露中最新的一项，揭露了滥用NPM部署一系列有效负载的情况，从信息窃取者到完全远程访问后门，这使得开发人员必须检查其包依赖性，以减轻打字错误和依赖混淆攻击。