Вредоносный пакет npm воровал файлы Discord и браузеров - «Новости»
- 16:07, 03-сен-2020
- Новости
- Bennett
- 0
Хакинг для новичков
- Содержание выпуска
- Подписка на «Хакер»
Издание ZDNet сообщает, что команда безопасности популярнейшего jаvascript-менеджера пакетов npm (Node Package Manager) обнаружила вредоносный пакет fallguys, якобы предназначенный для работы с API игры Fall Guys: Ultimate Knockout.
Когда разработчики загружали эту библиотеку и интегрировали ее в свои проекты, а затем запускал свой код, вредоносный пакет запускался вместе с ним. Малварь пыталась получить доступ к пяти локальным файлам, прочитать их содержимое, а затем «слить» эти данные в специальный Discord-канал. Так, злоумышленников интересовали:
- /AppData/Local/Google/Chrome/Userx20Data/Default/Localx20Storage/leveldb;
- /AppData/Roaming/Operax20Software/Operax20Stable/Localx20Storage/leveldb;
- /AppData/Local/Yandex/YandexBrowser/Userx20Data/Default/Localx20Storage/leveldb;
- /AppData/Local/BraveSoftware/Brave-Browser/Userx20Data/Default/Localx20Storage/leveldb;
- /AppData/Roaming/discord/Localx20Storage/leveldb.
Первые четыре файла представляют собой базы данных LevelDB, характерные для таких браузеров, как Chrome, Opera, Яндекс.Браузер и Brave. Как правило, эти файлы хранят информацию, связанную браузинговой историей пользователя. Последний файл — это тоже база данных LevelDB, однако связанная с Windows-клиентом Discord. Она содержит информацию о каналах, участником которых является пользователь, а также другие данные, связанные с каналами.
При этом вредоносный пакет не похищал никаких других конфиденциальных данных, к примеру, cookie сеансов или БД браузера, где хранились учетные данные. Эксперты полагают, что авторы вредоноса лишь проводили разведку, собирая данные о жертвах и пытаясь оценить, к каким сайтам чаще всего обращаются зараженные разработчики. Вероятно, в будущем хакеры планировали обновить пакет и расширить его вредоносную функциональность.
Вредоносный пакет fallguys был доступен для загрузки на протяжении двух недель, и за это время его скачали около 300 раз. Теперь команда безопасности npm рекомендует разработчикам удалить пакет как можно быстрее.
Комментарии (0)