Das npm-Sicherheitsteam hat eine bösartige JavaScript-Bibliothek aus dem npm-Portal entfernt, die dazu gedacht war, sensible Dateien aus dem Browser und der Discord-Anwendung eines infizierten Benutzers zu stehlen.
Bei dem bösartigen Paket handelte es sich um eine JavaScript-Bibliothek namens „Fallguys“, die angeblich eine Schnittstelle zur „Fallguys: Ultimate Knockout“-Spiel-API sein sollte.
Nachdem die Entwickler die Bibliothek jedoch heruntergeladen und in ihre Projekte integriert hatten, führte der infizierte Entwickler ihren Code aus und das bösartige Paket wurde ebenfalls ausgeführt.
Nach Angaben des npm-Sicherheitsteams hat dieser Code versucht, auf fünf lokale Dateien zuzugreifen, ihren Inhalt zu lesen und die Daten dann in einem Discord-Kanal (als Discord Webhook) zu veröffentlichen.
Die fünf Dateien, die das Paket zu lesen versucht, sind:
/AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
/AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/discord/Local\x20Storage/leveldb
Bei den ersten vier Dateien handelt es sich um LevelDB-Datenbanken, die für Browser wie Chrome, Opera, Yandex Browser und Brave spezifisch sind. Diese Dateien speichern normalerweise Informationen, die spezifisch für den Browserverlauf eines Benutzers sind.
Die letzte Datei war eine ähnliche LevelDB-Datenbank, jedoch für den Discord Windows-Client, der auf ähnliche Weise Informationen über die Kanäle, denen ein Benutzer beigetreten ist, und andere kanalspezifische Inhalte speichert.
Bemerkenswert ist, dass das bösartige Paket keine anderen sensiblen Daten von den Computern der infizierten Entwickler gestohlen hat, wie z.B. Session-Cookies oder die Browser-Datenbank, in der die Zugangsdaten gespeichert waren.
Das bösartige Paket scheint eine Art Erkundung durchgeführt zu haben, indem es Daten über die Opfer sammelte und versuchte einzuschätzen, auf welche Sites die infizierten Entwickler zugriffen, bevor es später durch ein Update des Pakets gezielteren Code lieferte.
Das npm-Sicherheitsteam rät den Entwicklern, das bösartige Paket aus ihren Projekten zu entfernen. Die Malware stand zwei Wochen lang auf der Website zur Verfügung und wurde in dieser Zeit fast 300 Mal heruntergeladen.
Kollaborationsplattform Slack: Effizient arbeiten – egal von wo
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Neueste Kommentare
Noch keine Kommentare zu Malware in Spiele-API
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.