Das npm-Sicherheitsteam hat eine bösartige JavaScript-Bibliothek aus dem npm-Portal entfernt, die dazu gedacht war, sensible Dateien aus dem Browser und der Discord-Anwendung eines infizierten Benutzers zu stehlen.
Bei dem bösartigen Paket handelte es sich um eine JavaScript-Bibliothek namens „Fallguys“, die angeblich eine Schnittstelle zur „Fallguys: Ultimate Knockout“-Spiel-API sein sollte.
Nachdem die Entwickler die Bibliothek jedoch heruntergeladen und in ihre Projekte integriert hatten, führte der infizierte Entwickler ihren Code aus und das bösartige Paket wurde ebenfalls ausgeführt.
Nach Angaben des npm-Sicherheitsteams hat dieser Code versucht, auf fünf lokale Dateien zuzugreifen, ihren Inhalt zu lesen und die Daten dann in einem Discord-Kanal (als Discord Webhook) zu veröffentlichen.
Die fünf Dateien, die das Paket zu lesen versucht, sind:
/AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
/AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
/AppData/Roaming/discord/Local\x20Storage/leveldb
Bei den ersten vier Dateien handelt es sich um LevelDB-Datenbanken, die für Browser wie Chrome, Opera, Yandex Browser und Brave spezifisch sind. Diese Dateien speichern normalerweise Informationen, die spezifisch für den Browserverlauf eines Benutzers sind.
Die letzte Datei war eine ähnliche LevelDB-Datenbank, jedoch für den Discord Windows-Client, der auf ähnliche Weise Informationen über die Kanäle, denen ein Benutzer beigetreten ist, und andere kanalspezifische Inhalte speichert.
Bemerkenswert ist, dass das bösartige Paket keine anderen sensiblen Daten von den Computern der infizierten Entwickler gestohlen hat, wie z.B. Session-Cookies oder die Browser-Datenbank, in der die Zugangsdaten gespeichert waren.
Das bösartige Paket scheint eine Art Erkundung durchgeführt zu haben, indem es Daten über die Opfer sammelte und versuchte einzuschätzen, auf welche Sites die infizierten Entwickler zugriffen, bevor es später durch ein Update des Pakets gezielteren Code lieferte.
Das npm-Sicherheitsteam rät den Entwicklern, das bösartige Paket aus ihren Projekten zu entfernen. Die Malware stand zwei Wochen lang auf der Website zur Verfügung und wurde in dieser Zeit fast 300 Mal heruntergeladen.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…