Вредоносный пакет npm похищает переписку в Discord
10 ноября 2020 года
Исследователи компании Sonatype обнаружили пакет npm (библиотеку JavaScript), содержащий вредоносный код, предназначенный для похищения конфиденциальных файлов из браузера пользователя и приложения Discord.
Вредоносная JavaScript-библиотека discord.dll до сих пор доступна на npm – web-портале, утилите командной строки и пакетном менеджере для разработчиков на JavaScript. Разработчики используют npm для загрузки и последующего обновления библиотек (пакетов npm) в своих JavaScript-проектах, будь то web-сайты, десктопные или серверные приложения.
Как сообщили исследователи, после установки discord.dll запускает вредоносный код, ищущий на компьютере разработчика определенные приложения и извлекающий из них внутренние библиотеки LevelDB, где хранится история браузинга и токены доступа. В список целевых приложений входят Google Chrome, Brave, Opera, Yandex Browser, а также популярное среди геймеров приложение для общения Discord. Вредоносная библиотека читает файлы и пытается опубликовать их содержимое на Discord-канале.
По словам исследователей, вредоносный код является улучшенной версией вредоносной библиотеки fallguys, обнаруженной в августе. Библиотека собирала те же данные, но более простым путем. Библиотека discord.dll была опубликована более пяти месяцев назад и загружена свыше 100 раз. В отличие от discord.dll всего за две недели fallguys была загружена более 300 раз.
Причина успеха первого пакета объясняется тем, что в нем содержался файл README, рекламирующий библиотеку как интерфейс к игровому API «Fall Guys: Ultimate Knockout». С другой стороны, пакет discord.dll содержал пустой файл README – свидетельство того, что проект либо был заброшен, либо никогда не был «официально» запущен его создателем.
Пакет discord.dll по-прежнему доступен на портале npm, но Sonatype уже уведомила группу безопасности npm, и, скорее всего, он будет удален в ближайшие дни.
Источники
править| Эта статья содержит материалы из статьи «Вредоносный пакет npm похищает переписку в Discord», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
