DevOps 安全公司 JFrog 在 npm（Node.js 包管理器）存储库中发现了 17 个新的恶意软件包，故意试图攻击和窃取用户的 Discord 令牌。根据介绍，这些包的有效载荷多种多样，从信息窃取程序到完整的远程访问后门。此外，这些包还具有不同的感染策略，包括域名抢注、依赖混淆和木马功能。 

Discord 是一个流行的数字通信平台，拥有超过3.5亿注册用户，可以通过语音通话、视频通话、文本消息和媒体文件（或其他任意文件）进行通信。Discord 令牌是访问 Discord 服务器的授权码，实际上是一个用户凭证。JFrog 安全研究高级主管 Shachar Menashe 和 Andrey Polkovnychenko 在公告中指出，通过劫持用户的 Discord 令牌，攻击者就可以完全控制用户的 Discord 帐户。

“这种类型的攻击如果执行得好，会产生严重的影响。而且在这种情况下，公共黑客工具使这种攻击变得足够容易，即使是黑客新手也可以执行。”

JFrog 向 npm 代码维护者进行了披露，目前这些恶意包已在积累大量的下载量之前从 npm 存储库中进行了删除。

JFrog 方面表示，其最近发现了大量的 Discord 令牌抓取恶意软件。而鉴于这种攻击有效载荷的流行，GitHub 上也发布了很多带有构建说明的 Discord 令牌抓取器。攻击者可以利用这些模板之一，开发定制的恶意软件，而不需要大量的编程技能 —— 这意味着任何新手黑客都可以在几分钟内轻松做到这一点。

JFrog 指出，其最近已经目睹了通过开源软件存储库托管和交付的一系列恶意软件。并得出结论称，PyPI 和 npm 等公共存储库已成为恶意软件分发的便捷工具：存储库的服务器是受信任的资源，与其通信不会引起任何反病毒或防火墙的怀疑。此外，通过 npm 客户端等自动化工具轻松安装，提供了一个成熟的攻击媒介。

JFrog 建议组织采取预防措施并管理他们使用 npm 进行软件策划，以降低将恶意代码引入其应用程序的风险。