0xNews - 공식 NPM 패키지 저장소를 통해 악성코드가 숨겨진 자바 스크립트 라이브러리 발견

0xNews - 공식 NPM 패키지 저장소를 통해 악성코드가 숨겨진 자바 스크립트 라이브러리 발견

JFrog 발표

https://jfrog.com/blog/malware-civil-war-malicious-npm-packages-targeting-malware-authors/

악성 코드가 숨겨진 자바 스크립트 라이브러리는 총 25개

이중 17개 패키지는 삭제

위 악성 자바 스크립트 라이브러리 패키지는 손상된 시스템에서 디스코드 Discord 토큰과 환경 변수를 탈취하는 것을 공격 목표로 함

문제의 라이브러리는 typosquatting 기술을 활용하여 colors.js / crypto-js / discord.js / marked / noblox.js 등과 같은 정상적인 패키지로 위장

악성 코드가 포함된 자바 스크립트 패키지 리스트

node-colors-sync - 디스코드 토큰 스틸러

color-self - 디스코드 토큰 스틸러

color-self-2 - 디스코드 토큰 스틸러

wafer-text - 환경변수 스틸러

wafer-countdown - 환경 변수 스틸러

wafer-template- 환경 변수 스틸러

wafer-darla - 환경변수 스틸러

lemaaa - 디스코드 토큰 스틸러

adv-discord-utility - 디스코드 토큰 스틸러

tools-for-discord - 디스코드 토큰 스틸러

mynewpkg - 환경 변수 스틸러

Purple-bitch - 디스코드 토큰 스틸러

Purple-bitches - 디스코드 토큰 스틸러

noblox.js-addons - 디스코드 토큰 스틸러

kakakaakaaa11aa - 커넥트백 쉘

markedjs - 파이썬 원격 코드 인젝터

crypto-standarts - 파이썬 원격 코드 인젝터

discord-selfbot-tools - 디스코드 토큰 스틸러

discord.js-aployscript-v11 - 디스코드 토큰 스틸러

discord.js-selfbot-aployscript - 디스코드 토큰 스틸러

discord.js-selfbot-aployed - 디스코드 토큰 스틸러

discord.js-discord-selfbot-v4 - 디스코드 토큰 스틸러

colors-beta - 디스코드 토큰 스틸러

vera.js - 디스코드 토큰 스틸러

discord-protection - 디스코드 토큰 스틸러

디스코드 토큰은 운영자가 디스코드 채널을 통해 악성 링크를 전파하기 위해 접속을 악용할 수 있음

공격자는 암호 없이 계정에 무단으로 접속할 수 있음

lemaaa 의 악성 패키지는 공격자가 디스코드 계정을 조작하는데 사용하기 위한 라이브러리

특정 방식으로 사용하면 라이브러리는 요청된 유틸리티 기능을 수행하는 것 외 제공된 비밀 디스코드 토큰을 중간 탈취 가능

제공된 디스코드 토큰을 사용하여 피해자의 신용카드 정보를 탈취 후 계정 비밀번호와 이메일을 변경하여 계정 탈취

이후 피해자의 모든 친구를 제거하도록 설계

Vera.js 디스토드 토큰 그래버이기도 한 이 패키지는 토큰 탈취 활동을 수행하기 위해 기존 접근 방식과 다른 형태로 활동

사용자 로컬 디스크에서 정보를 검색하는 것이 아니라 웹 브라우저의 로컬 저장소에서 토큰 검색

이번 검색 방식은 디스코드 앱을 사용할 때와 달리 웹 브라우저를 사용하여 디스코드 앱 사이트에 로그인할 때 생성된 토큰을 탈취하는데 목표를 한 것으로 분석

계속 증가하는 개발자와 생태계 등을 대상으로 하는 이러한 공격은 정보 탈취, 공격자로 하여금 완전한 원격 접속 후 제어권 강탈을 위한 백도어 등 다양한 페이로드를 배포하기 위해 개발자 저장소 등에 대한 공격 중 일부

이에 개발자는 간단한 개발 코드에 대한 오타, 종속성을 완화하기 위한 패키지 종속성 검사 등을 수행할 것을 권고