Ερευνητές ασφαλείας της Sonatype ανακάλυψαν ένα npm package (βιβλιοθήκη JavaScript) που περιέχει κακόβουλο κώδικα, ο οποίος έχει σχεδιαστεί για να κλέβει ευαίσθητα αρχεία από τα προγράμματα περιήγησης ενός χρήστη και την εφαρμογή Discord.
Ο κακόβουλος κώδικας, που ονομάστηκε discord.dll, εξακολουθεί να είναι διαθέσιμος μέσω npm, μιας διαδικτυακής πύλης, βοηθητικού προγράμματος γραμμής εντολών και διαχειριστή πακέτων για προγραμματιστές JavaScript.
Οι προγραμματιστές χρησιμοποιούν το npm για να φορτώσουν και στη συνέχεια να ενημερώσουν βιβλιοθήκες στα JavaScript projects τους, είτε αυτά είναι ιστότοποι, είτε εφαρμογές για επιτραπέζιους υπολογιστές είτε εφαρμογές διακομιστή.
Σύμφωνα με την Sonatype, μόλις το discord.dll εγκατασταθεί σε ένα σύστημα, εκτελέσει κακόβουλο κώδικα που πραγματοποιεί αναζήτηση στον υπολογιστή του προγραμματιστή και αφού εντοπίσει συγκεκριμένες εφαρμογές επιχειρεί να ανακτήσει τις εσωτερικές βάσεις δεδομένων του LevelDB.
Οι εφαρμογές αυτές μπορεί να είναι προγράμματα περιήγησης όπως το Google Chrome, το Brave, το Opera και το πρόγραμμα περιήγησης Yandex, αλλά και η εφαρμογή Discord instant messaging, δημοφιλής σήμερα στους περισσότερους διαδικτυακούς gamers.
Τα αρχεία που ανακτά το κακόβουλο λογισμικό είναι βάσεις δεδομένων LevelDB, τις οποίες χρησιμοποιούν οι προαναφερθείσες εφαρμογές για την αποθήκευση πληροφοριών, όπως ιστορικά περιήγησης και διάφορα διαπιστευτήρια πρόσβασης.
Το Discord.dll διαβάζει τα αρχεία και προσπαθεί να δημοσιεύσει το περιεχόμενό τους σε ένα κανάλι Discord (ως Discord webhook).
Μετά την έρευνα που διεξήγαγε, η Sonatype διαπίστωσε ότι ο κακόβουλος κώδικας ήταν μια βελτιωμένη έκδοση μιας κακόβουλης βιβλιοθήκης που εμφανίστηκε τον Αύγουστο. Με την ονομασία fallguys, αυτή η βιβλιοθήκη μάζευε επίσης τις ίδιες πληροφορίες, αν και με λιγότερο περίπλοκο τρόπο.
Το πακέτο discord.dll εξακολουθεί να είναι διαθέσιμο στην πύλη npm, αλλά η Sonatype είπε ότι έχει ήδη ενημερώσει την ομάδα ασφαλείας npm και το πακέτο πιθανότατα θα αφαιρεθεί τις επόμενες ημέρες. Οι ερευνητές ανέφεραν επίσης ότι το discord.dll δεν είναι το μόνο κακόβουλο πακέτο, που έχει δημιουργήσει συντάκτης του. Υπάρχουν άλλα δέκα στον ιστότοπο npm, τρία από τα οποία περιείχαν κακόβουλο κώδικα που κατεβάζει και εκτελεί τρία μυστηριώδη αρχεία EXE.
 που περιέχει κακόβουλο κώδικα, ο οποίος έχει σχεδιαστεί){kind=link}