TECHNOLOGIE

Malware se pokusil získat informace z Discordu a v prohlížeči vývojáře

Malware se pokusil získat informace z Discordu a v prohlížeči vývojáře

Bezpečnostní tým NPM odstranil ze svého portálu zlomyslně vytvořenou knihovnu JavaScript, aby ukradl citlivé soubory z prohlížeče a aplikace Discord pro infikované uživatele.

Škodlivý balíček je knihovna JavaScript s názvem „fallguys“, která tvrdí, že poskytuje rozhraní API hry Fall Guys: Ultimate KnockoutAle vývojáři si stáhnou knihovnu a integrují ji do svých projektů, a když je spuštěn infikovaný kód, spustí se také škodlivý balíček.

Přístup k aplikaci Discord a prohlížeči

Podle bezpečnostního týmu NPM se tento kód pokouší získat přístup k pěti místním souborům, přehrát obsah a poté odeslat informace na server Discord (ve formě Discord Webhook).

Pět souborů, které se balíček pokusí přečíst, je:

  • / AppData / Local / Google / Chrome / User x20Data / Standard / Local x20Storage / leveldb;
  • / AppData / Roaming / Opera x20Software / Opera x20Stable / Local x20Storage / leveldb;
  • / AppData / Local / Yandex / YandexBrowser / User x20Data / Standard / Local x20Storage / leveldb;
  • / AppData / Local / BraveSoftware / Brave-Browser / User x20Data / Standard / Local x20Storage / leveldb;
  • / AppData / Roaming / svár / Local x20Storage / leveldb.

První čtyři soubory jsou databáze LevelDB specifické pro prohlížeče jako Chrome, Opera, Yandex Browser a Brave. Tyto soubory obvykle ukládají informace, které jsou specifické pro webovou historii uživatele.

Poslední soubor je také databáze LevelDB, ale pro klienta Discord ve Windows, který podobně ukládá informace o tom, ke kterým serverům se uživatel připojil, a další obsah specifický pro server.

Téměř 300 stažení

Škodlivý balíček neukradne jiná citlivá data z infikovaných počítačů, jako jsou soubory cookie relace nebo databáze prohlížeče, která ukládá odkazy.

Zdá se, že škodlivý balíček provedl nějakou formu průzkumu, shromáždil údaje o obětech a pokusil se posoudit, ke kterým webům měli infikovaní vývojáři přístup, než později poskytli cílenější kód prostřednictvím aktualizace balíčku. .

Tým zabezpečení NPM doporučuje vývojářům, aby ze svých projektů odstranili škodlivý balíček. Škodlivý balíček byl na webu k dispozici dva týdny, za tu dobu byl stažen téměř 300krát.

Zdroj: ZDNet.com

Botón volver arriba

Byl zjištěn blokovač reklam

Chcete-li nadále používat naši webovou stránku, musíte odstranit BLOKOVÁNÍ REKLAMY. DĚKUJEME