Sajnos egyre gyakoribb, hogy nyílt forráskódú projektekbe kerül szándékosan vagy óvatlanságból káros kód. Egyre inkább használunk fel harmadik féltől származó pl. npm csomagokat, ehhez azonban odafigyelés is szükséges, ugyanis nagy bajt csinálhatnak a tudtunk nélkül.
Olyan npm csomagokat találtak a kutatók, amik az áldozat Discord fiókját, és az ahhoz társított banki adatokat nyúlják le.
A Kaspersky kutatói lettek figyelmesek ezekre a kódokra, melyek nyílt forráskódú Python és Javascript adatlopó programokból lettek összerakva.
A kártékony kódok akkor kerülnek a számítógépre, amikor feltelepítjuk az alábbi fertőzött npm csomagokat: small-sm, pern-valids, lifeculer, proc-title.
A program ezt követően rendszer információkat, valamint a felhasználó Discord tokenjét is elküldi az IP címével együtt a támadók által irányított szerverekre.
Továbbá, monitorozza az áldozat Discord tevékenységét, például a bejelentkezést, a jelszó megváltoztatását, a kétlépcsős bejelentkezést, illetve a fizetési mód hozzáadását, aminek a segítségével képes lenyúlni a bankkártya-adatokat is.
Az eset sajnos nem egyedi, és kimondottan nehéz fellépni ellene. Hiába a nyílt forráskód, rengeteg könyvtár van, és ezek mind-mind egymásra épülhetnek. Egy kezdő fejlesztő valószínűleg nem fog minden felhasznált kódot tüzetesen átvizsgálni, és arra is láttunk már példát, hogy utólag került egy könyvtárba a készítő szándékának ellenére káros kód.
A mások által írt kód használata manapság szinte elengedhetetlen. A legjobb amit tehetünk, hogy lehetőség szerint ellenőrizzük a kód megbízhatóságát, illetve megbízhatónak számító, tapasztalt fejlesztőtől használunk fel könyvtárakat.
