Pacchetto npm dannoso scoperto mentre tentava di rubare file sensibili di Discord e del browser

  • Sep 04, 2023

Il codice dannoso era nascosto all'interno di una libreria JavaScript per lavorare con l'API del gioco "Fall Guys: Ultimate Knockout".

npm-malicious.png

cheat sheet di Techrepublic

  • Come diventare uno sviluppatore: stipendi, competenze e le migliori lingue da imparare

Il team di sicurezza di npm ha rimosso una libreria JavaScript dannosa dal portale npm progettata per rubare file sensibili dal browser di un utente infetto e dall'applicazione Discord.

Il pacchetto dannoso era una libreria JavaScript denominata "ragazzi falliti" che pretendeva di fornire un'interfaccia al "Ragazzi autunnali: Knockout definitivo"API di gioco.

Tuttavia, dopo che gli sviluppatori scaricavano la libreria e la integravano nei loro progetti, quando lo sviluppatore infetto eseguiva il codice, veniva eseguito anche il pacchetto dannoso.

Secondo il team di sicurezza di npm, questo codice tenterà di accedere a cinque file locali, leggere il loro contenuto e quindi pubblicare i dati all'interno di un canale Discord (come un Webhook Discord).

I cinque file che il pacchetto tenterà di leggere sono:

  • /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
  • /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Roaming/discord/Local\x20Storage/leveldb

I primi quattro file sono database LevelDB specifici per browser come Chrome, Opera, Yandex Browser e Brave. Questi file solitamente memorizzano informazioni specifiche sulla cronologia di navigazione di un utente.

L'ultimo file era un database LevelDB simile ma per il client Discord Windows, che memorizza in modo simile le informazioni sui canali a cui si è unito un utente e altri contenuti specifici del canale.

Da notare che il pacchetto dannoso non ha rubato altri dati sensibili dai computer degli sviluppatori infetti, come i cookie di sessione o il database del browser che memorizzava le credenziali.

Sembra che il pacchetto dannoso abbia effettuato una sorta di ricognizione, raccogliendo dati sulle vittime e cercando di effettuare valutazioni a quali siti accedevano gli sviluppatori infetti, prima di fornire codice più mirato tramite un aggiornamento del pacchetto in un secondo momento strada.

Il team di sicurezza di npm consiglia agli sviluppatori di rimuovere il pacchetto dannoso dai loro progetti.

Il pacchetto dannoso è rimasto disponibile sul sito per due settimane, durante le quali è stato scaricato quasi 300 volte.

Cosa c'è in un nome? Questi strumenti DevOps hanno strani retroscena

Sicurezza

8 abitudini dei lavoratori remoti altamente sicuri
Come trovare e rimuovere spyware dal telefono
I migliori servizi VPN: come si confrontano i primi 5?
Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo
  • 8 abitudini dei lavoratori remoti altamente sicuri
  • Come trovare e rimuovere spyware dal telefono
  • I migliori servizi VPN: come si confrontano i primi 5?
  • Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo