Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
这个恶意包是一个 JavaScript 库,名为“fallguys”,声称为“Fall Guys:Ultimate Knockout”游戏API 提供接口。
然而,开发人员下载该库并集成到项目后发现,当受感染设备运行代码时,该恶意包也会执行。
Npm 安全团队指出,该恶意代码试图访问五个本地文件,读取其中的内容并将数据发布在 Discord 信道内.
该恶意数据包试图读取的五个文件包括:
/AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
/AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/discord/Local\x20Storage/leveldb
其中,前四个文件是专用于浏览器如Chrome、Opera、Yandex Browser 和Brave 的 LevelDB 数据库。这些文件通常会存储和用户浏览历史相关的信息。最后一个文件类似于 LevelDB 数据库,但用于 Discord Windows 客户端。后者同样在用户加入的信道中存储信息以及其它具体某个信道的内容。
值得注意的是,这个恶意包并未从受感染开发人员的计算机中窃取其它敏感信息,如会话 cookie 或存储凭据的浏览器数据库。
该恶意包似乎在执行侦察、收集受害者数据的行为,并试图访问受感染开发人员正在访问的站点,之后通过更新该恶意包输出更多的针对性代码。
Npm 安全团队建议开发人员删除项目中的这些恶意包。该恶意包已在网站上存在两周的时间,下载次数近300次。
微软发现窃取 UNIX 系统数据的恶意 npm 包
https://www.zdnet.com/article/malicious-npm-package-caught-trying-to-steal-sensitive-discord-and-browser-files/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。