Η ομάδα ασφαλείας npm έχει καταργήσει μια κακόβουλη βιβλιοθήκη JavaScript από το npm portal που σχεδιάστηκε για να κλέβει ευαίσθητα αρχεία από το πρόγραμμα περιήγησης των χρηστών και την εφαρμογή Discord.
Το κακόβουλο npm ήταν μια βιβλιοθήκη JavaScript με το όνομα “fallguys” που ισχυρίζοταν ότι παρέχει ένα interface στο API “Fall Guys: Ultimate Knockout”.
Ωστόσο, αφού οι προγραμματιστές κατέβασαν τη βιβλιοθήκη και την ενσωμάτωσαν στα project τους, όταν ο προγραμματιστής εκτελούσε τον κώδικά του, εκτελούσε και το κακόβουλο npm.
Σύμφωνα με την ομάδα ασφαλείας npm, αυτός ο κώδικας προσπαθούσε να αποκτήσει πρόσβαση σε πέντε τοπικά αρχεία, να διαβάσει το περιεχόμενό τους και, στη συνέχεια, να δημοσιεύσει τα δεδομένα μέσα σε ένα κανάλι Discord (ως Discord webhook).
Τα πέντε αρχεία που προσπαθούσε να διαβάσει το κακόβουλο npm είναι τα παρακάτω:
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Τα πρώτα τέσσερα αρχεία είναι βάσεις δεδομένων LevelDB ειδικά για προγράμματα περιήγησης όπως τα Chrome, Opera, Yandex Browser και Brave. Αυτά τα αρχεία συνήθως αποθηκεύουν συγκεκριμένες πληροφορίες για το ιστορικό περιήγησης ενός χρήστη.
Το τελευταίο αρχείο είναι μια παρόμοια βάση δεδομένων LevelDB, αλλά για τον Discord Windows client, ο οποίος παρομοίως αποθηκεύει πληροφορίες στα κανάλια που έχει εγγραφεί ένας χρήστης.
Αξίζει να σημειωθεί ότι το κακόβουλο npm δεν έκλεψε άλλα ευαίσθητα δεδομένα από τους υπολογιστές των στοχευμένων προγραμματιστών, όπως τα cookies περιόδου λειτουργίας ή τη βάση δεδομένων του προγράμματος περιήγησης στην οποία αποθηκεύονται τα credentials.
Το κακόβουλο npm φαίνεται να εκτελεί κάποιο είδος αναγνώρισης, να συλλέγει δεδομένα για τα θύματα και να προσπαθεί να εκτιμήσει σε ποιους ιστότοπους είχαν πρόσβαση οι προγραμματιστές, προτού παραδώσει αργότερα πιο στοχευμένο κώδικα μέσω μιας ενημέρωσης.
Η ομάδα ασφαλείας npm συμβουλεύει τους προγραμματιστές να καταργήσουν το κακόβουλο npm από τα project τους.
Το κακόβουλο npm ήταν διαθέσιμο στον ιστότοπο για δύο εβδομάδες, κατά τη διάρκεια του οποίου “κατέβηκε” σχεδόν 300 φορές.
