Das npm-Sicherheitsteam hat eine bösartige JavaScript-Bibliothek aus dem npm-Portal entfernt, die dazu gedacht war, sensible Dateien aus dem Browser und der Discord-Anwendung eines infizierten Benutzers zu stehlen.
Bei dem bösartigen Paket handelte es sich um eine JavaScript-Bibliothek namens „Fallguys“, die angeblich eine Schnittstelle zur „Fallguys: Ultimate Knockout“-Spiel-API sein sollte.
Nachdem die Entwickler die Bibliothek jedoch heruntergeladen und in ihre Projekte integriert hatten, führte der infizierte Entwickler ihren Code aus und das bösartige Paket wurde ebenfalls ausgeführt.
Nach Angaben des npm-Sicherheitsteams hat dieser Code versucht, auf fünf lokale Dateien zuzugreifen, ihren Inhalt zu lesen und die Daten dann in einem Discord-Kanal (als Discord Webhook) zu veröffentlichen.
Die fünf Dateien, die das Paket zu lesen versucht, sind:
/AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
/AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/discord/Local\x20Storage/leveldb
Bei den ersten vier Dateien handelt es sich um LevelDB-Datenbanken, die für Browser wie Chrome, Opera, Yandex Browser und Brave spezifisch sind. Diese Dateien speichern normalerweise Informationen, die spezifisch für den Browserverlauf eines Benutzers sind.
Die letzte Datei war eine ähnliche LevelDB-Datenbank, jedoch für den Discord Windows-Client, der auf ähnliche Weise Informationen über die Kanäle, denen ein Benutzer beigetreten ist, und andere kanalspezifische Inhalte speichert.
Bemerkenswert ist, dass das bösartige Paket keine anderen sensiblen Daten von den Computern der infizierten Entwickler gestohlen hat, wie z.B. Session-Cookies oder die Browser-Datenbank, in der die Zugangsdaten gespeichert waren.
Das bösartige Paket scheint eine Art Erkundung durchgeführt zu haben, indem es Daten über die Opfer sammelte und versuchte einzuschätzen, auf welche Sites die infizierten Entwickler zugriffen, bevor es später durch ein Update des Pakets gezielteren Code lieferte.
Das npm-Sicherheitsteam rät den Entwicklern, das bösartige Paket aus ihren Projekten zu entfernen. Die Malware stand zwei Wochen lang auf der Website zur Verfügung und wurde in dieser Zeit fast 300 Mal heruntergeladen.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…