Вредоносный пакет npm похищает переписку в Discord

Исследователи компании Sonatype обнаружили пакет npm (библиотеку JavaScript), содержащий вредоносный код, предназначенный для похищения конфиденциальных файлов из браузера пользователя и приложения Discord.

Вредоносная JavaScript-библиотека discord.dll до сих пор доступна на npm – web-портале, утилите командной строки и пакетном менеджере для разработчиков на JavaScript. Разработчики используют npm для загрузки и последующего обновления библиотек (пакетов npm) в своих JavaScript-проектах, будь то web-сайты, десктопные или серверные приложения.

Как сообщили исследователи, после установки discord.dll запускает вредоносный код, ищущий на компьютере разработчика определенные приложения и извлекающий из них внутренние библиотеки LevelDB, где хранится история браузинга и токены доступа. В список целевых приложений входят Google Chrome, Brave, Opera, Yandex Browser, а также популярное среди геймеров приложение для общения Discord. Вредоносная библиотека читает файлы и пытается опубликовать их содержимое на Discord-канале.

По словам исследователей, вредоносный код является улучшенной версией вредоносной библиотеки fallguys, обнаруженной в августе. Библиотека собирала те же данные, но более простым путем. Библиотека discord.dll была опубликована более пяти месяцев назад и загружена свыше 100 раз. В отличие от discord.dll всего за две недели fallguys была загружена более 300 раз.

Причина успеха первого пакета объясняется тем, что в нем содержался файл README, рекламирующий библиотеку как интерфейс к игровому API «Fall Guys: Ultimate Knockout». С другой стороны, пакет discord.dll содержал пустой файл README – свидетельство того, что проект либо был заброшен, либо никогда не был «официально» запущен его создателем.

Пакет discord.dll по-прежнему доступен на портале npm, но Sonatype уже уведомила группу безопасности npm, и, скорее всего, он будет удален в ближайшие дни.