安全公司：恶意npm包试图窃取Discord令牌

12月10日消息，DevOps安全公司JFrog在npm（Node.js包管理器）存储库中发现17个新的恶意软件包，这些软件包故意试图攻击和窃取用户的Discord令牌。JFrog安全研究高级主管Shachar Menashe和Andrey Polkovnychenko解释说，劫持用户的Discord令牌（用户凭据）使攻击者能够完全控制用户的账户。 Menashe表示，“如果执行得当，这种类型的攻击会产生严重的影响，在这种情况下，公共黑客工具使这种攻击变得足够容易，即使是新手黑客也可以执行。我们建议各组织采取预防措施并管理其使用npm进行软件管理，以降低将恶意代码引入其应用程序的风险。” 两人解释说，这些软件包的有效负载各不相同，从信息窃取者到完全远程访问后门。他们补充说，这些软件包有不同的感染策略，包括键入错误、依赖性混淆和特洛伊木马功能。这些软件包已经从npm存储库中删除，JFrog安全研究团队表示，它们“在获得大量下载之前”就被删除了。 JFrog指出，由于Discord平台是一款流行的视频/语音/文本聊天应用程序，目前已拥有超过3.5亿注册用户，因此旨在窃取Discord令牌的恶意软件有所增加。（ZDNet）