npm Security a supprimé un paquet malveillant qui a détecté le vol de données de Discord et de navigateurs

0


Après avoir trouvé un code JavaScript malveillant dans l'une de leurs bibliothèques de paquets, l'équipe de sécurité de npm l'a immédiatement retiré de son portail pour éviter d'en infecter d'autres.

Le code malveillant a déjà été téléchargé 300 fois en deux semaines et a été utilisé par le jeu Fall Guy's développeurs. Le code malveillant volait des fichiers sensibles dans les navigateurs des utilisateurs et les clients Discord.

A Code For Stealing Discord And Browser Files

npm software est un gestionnaire de packages pour la plate-forme JavaScript Node, qui organise le modules à trouver par le nœud. Il gère intelligemment les conflits de dépendance des modules entre les nœuds et est configurable pour diverses autres utilisations.

Image Via PixaBay

Il maintient un portail pour le public et le privé

Le code malveillant a été trouvé dans une bibliothèque JS appelée " fallguys ", qui prétendait fournir une interface pour le jeu Fall Guys: Ultimate Knockout API du jeu. Le jeu était si populaire qu'il s'est vendu à plus de 7 millions de copies sur Steam, ce qui en fait le jeu le plus téléchargé sur PlayStation Plus.

Le code malveillant de la bibliothèque existe depuis plus de deux semaines avant l'équipe de sécurité de npm trouvé et supprimé. Pendant ce temps, il a été téléchargé par les développeurs environ 300 fois pour être inclus dans leurs API de jeu.

Selon l'équipe, le code était destiné à voler des fichiers dans les fichiers locaux des navigateurs et de Discord. Les chemins d'accès spécifiques auxquels il accède sont:

  • / AppData / Local / Google / Chrome / User x20Data / Default / Local x20Storage / leveldb
  • / AppData / Roaming / Opera x20Software / Opera x20Stable / Local x20Storage / leveldb
  • / AppData / Local / Yandex / YandexBrowser / User x20Data / Default / Local x20Storage / leveldb
  • / AppData / Local / BraveSoftware / Brave-Browser / User x20Data / Default / Local x20Storage / leveldb
  • / AppData / Roaming / discord / Local x20Storage / leveldb

Alors que les quatre premiers fichiers sont des bases de données LevelDB de navigateurs spécifiques comme Chrome, Opera, Navigateur Yandex, et Brave le dernier appartient à Discord's ] Base de données LevelDB ase. Lors de l'exécution du code malveillant dans leurs API de jeu par des développeurs infectés, il s'exécutait pour évaluer ces fichiers.

Ces fichiers contiendraient l'historique de navigation en cas de navigateurs et le contenu lié à la chaîne au cas où de Discord. Il est intéressant de voir qu'il ne vole ni ne surveille aucune session de cookie ni aucun identifiant stocké dans le navigateur. Pourtant, npm security a mis en garde contre les menaces de reconnaissance et a conseillé aux développeurs de supprimer ce code de leurs paquets.

Leave A Reply

Your email address will not be published.