Das npm-Sicherheitsteam hat eine bösartige JavaScript-Bibliothek aus dem npm-Portal entfernt, die dazu gedacht war, sensible Dateien aus dem Browser und der Discord-Anwendung eines infizierten Benutzers zu stehlen.
Bei dem bösartigen Paket handelte es sich um eine JavaScript-Bibliothek namens „Fallguys“, die angeblich eine Schnittstelle zur „Fallguys: Ultimate Knockout“-Spiel-API sein sollte.
Nachdem die Entwickler die Bibliothek jedoch heruntergeladen und in ihre Projekte integriert hatten, führte der infizierte Entwickler ihren Code aus und das bösartige Paket wurde ebenfalls ausgeführt.
Nach Angaben des npm-Sicherheitsteams hat dieser Code versucht, auf fünf lokale Dateien zuzugreifen, ihren Inhalt zu lesen und die Daten dann in einem Discord-Kanal (als Discord Webhook) zu veröffentlichen.
Die fünf Dateien, die das Paket zu lesen versucht, sind:
/AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
/AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/discord/Local\x20Storage/leveldb
Bei den ersten vier Dateien handelt es sich um LevelDB-Datenbanken, die für Browser wie Chrome, Opera, Yandex Browser und Brave spezifisch sind. Diese Dateien speichern normalerweise Informationen, die spezifisch für den Browserverlauf eines Benutzers sind.
Die letzte Datei war eine ähnliche LevelDB-Datenbank, jedoch für den Discord Windows-Client, der auf ähnliche Weise Informationen über die Kanäle, denen ein Benutzer beigetreten ist, und andere kanalspezifische Inhalte speichert.
Bemerkenswert ist, dass das bösartige Paket keine anderen sensiblen Daten von den Computern der infizierten Entwickler gestohlen hat, wie z.B. Session-Cookies oder die Browser-Datenbank, in der die Zugangsdaten gespeichert waren.
Das bösartige Paket scheint eine Art Erkundung durchgeführt zu haben, indem es Daten über die Opfer sammelte und versuchte einzuschätzen, auf welche Sites die infizierten Entwickler zugriffen, bevor es später durch ein Update des Pakets gezielteren Code lieferte.
Das npm-Sicherheitsteam rät den Entwicklern, das bösartige Paket aus ihren Projekten zu entfernen. Die Malware stand zwei Wochen lang auf der Website zur Verfügung und wurde in dieser Zeit fast 300 Mal heruntergeladen.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…