Categories: Sicherheit

Malware in Spiele-API

Das npm-Sicherheitsteam hat eine bösartige JavaScript-Bibliothek aus dem npm-Portal entfernt, die dazu gedacht war, sensible Dateien aus dem Browser und der Discord-Anwendung eines infizierten Benutzers zu stehlen.

Bei dem bösartigen Paket handelte es sich um eine JavaScript-Bibliothek namens „Fallguys“, die angeblich eine Schnittstelle zur „Fallguys: Ultimate Knockout“-Spiel-API sein sollte.

Nachdem die Entwickler die Bibliothek jedoch heruntergeladen und in ihre Projekte integriert hatten, führte der infizierte Entwickler ihren Code aus und das bösartige Paket wurde ebenfalls ausgeführt.

Nach Angaben des npm-Sicherheitsteams hat dieser Code versucht, auf fünf lokale Dateien zuzugreifen, ihren Inhalt zu lesen und die Daten dann in einem Discord-Kanal (als Discord Webhook) zu veröffentlichen.

Die fünf Dateien, die das Paket zu lesen versucht, sind:

/AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb

/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb

/AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb

/AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb

/AppData/Roaming/discord/Local\x20Storage/leveldb

Bei den ersten vier Dateien handelt es sich um LevelDB-Datenbanken, die für Browser wie Chrome, Opera, Yandex Browser und Brave spezifisch sind. Diese Dateien speichern normalerweise Informationen, die spezifisch für den Browserverlauf eines Benutzers sind.

Die letzte Datei war eine ähnliche LevelDB-Datenbank, jedoch für den Discord Windows-Client, der auf ähnliche Weise Informationen über die Kanäle, denen ein Benutzer beigetreten ist, und andere kanalspezifische Inhalte speichert.

Bemerkenswert ist, dass das bösartige Paket keine anderen sensiblen Daten von den Computern der infizierten Entwickler gestohlen hat, wie z.B. Session-Cookies oder die Browser-Datenbank, in der die Zugangsdaten gespeichert waren.

Das bösartige Paket scheint eine Art Erkundung durchgeführt zu haben, indem es Daten über die Opfer sammelte und versuchte einzuschätzen, auf welche Sites die infizierten Entwickler zugriffen, bevor es später durch ein Update des Pakets gezielteren Code lieferte.

Das npm-Sicherheitsteam rät den Entwicklern, das bösartige Paket aus ihren Projekten zu entfernen. Die Malware stand zwei Wochen lang auf der Website zur Verfügung und wurde in dieser Zeit fast 300 Mal heruntergeladen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

9 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

9 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago