Pacchetto npm dannoso fermato mentre cercava di rubare i file sensibili di Discord

 Vulnhub Node.js machine - 2018(Node js Hacking) - YouTube

Buongiorno cari lettori, oggi parleremo di un pacchetto npm dannoso.


Il team di sicurezza di npm ha rimosso una libreria JavaScript dannosa dal portale npm che era stata progettata per rubare file sensibili dal browser di un utente infetto e dall'applicazione Discord.


Il pacchetto dannoso era una libreria JavaScript chiamata "fallguys" che sosteneva di fornire un'interfaccia per l'API del gioco "Fall Guys: Ultimate Knockout".Tuttavia, dopo che gli sviluppatori hanno scaricato la libreria e l'hanno integrata nei loro progetti, quando lo sviluppatore infetto ha eseguito il codice, anche il pacchetto maligno è stato eseguito.

Secondo il team di sicurezza di npm, questo codice tentava di accedere a cinque file locali, leggere il loro contenuto e poi pubblicare i dati all'interno di un canale Discord (come Discord webhook).


I cinque file che il pacchetto tenterebbe di leggere sono:


/AppData/Local/Google/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb

/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb

/AppData/Locale/Yandex/YandexBrowser/User\x20Data/Default/Locale/x20Storage/leveldb

/AppData/Locale/BraveSoftware/Brave-Browser/User\x20Data/Default/Locale/x20Storage/leveldb

/AppData/Roaming/Discord /Local\x20Storage/leveldb


I primi quattro file sono database LevelDB specifici per browser come Chrome, Opera, Yandex Browser e Brave. Questi file di solito memorizzano informazioni specifiche sulla cronologia di navigazione di un utente.

L'ultimo file era un database LevelDB simile, ma per il client Discord Windows, che allo stesso modo memorizza informazioni sui canali ai quali un utente ha aderito, e altri contenuti specifici del canale.

Da notare che il pacchetto maligno non ha rubato altri dati sensibili dai computer degli sviluppatori infetti, come i cookie di sessione o il database del browser che memorizzava le credenziali.Sembra che il pacchetto maligno abbia effettuato una sorta di ricognizione, raccogliendo dati sulle vittime e cercando di valutare a quali siti gli sviluppatori infetti stavano accedendo, prima di fornire codice più mirato tramite un aggiornamento del pacchetto in un secondo momento.


Il team di sicurezza di npm consiglia agli sviluppatori di rimuovere il pacchetto dannoso dai loro progetti.

Il pacchetto dannoso è stato disponibile sul sito per due settimane, durante le quali è stato scaricato quasi 300 volte.


spero che questo articolo vi sia piaciuto e noi ci vediamo ad un prossimo articolo.

Post più popolari