Команда npm удалила 17 вредоносных JavaScript-библиотек

Команда npm удалила 17 вредоносных JavaScript-библиотек

Пакеты похищали токены доступа Discord и переменные среды с компьютеров пользователей и устанавливали RAT.

Команда безопасности Node Package Manager (npm) на этой неделе удалила 17 JavaScript-библиотек с вредоносным кодом, предназначенным для похищения токенов доступа Discord и переменных среды с компьютеров пользователей.

«К счастью, пакеты были удалены до того, как успели набрать большое количество скачиваний (судя по записям npm), поэтому нам удалось избежать ситуации, аналогичной ситуации с PyPI , когда вредоносные пакеты были загружены десятки тысяч раз до того, как были обнаружены и удалены», – сообщили исследователи ИБ-компании JFrog Андрей Полковиченко и Шахар Менаше (Shachar Menashe), обнаружившие вредоносные пакеты и сообщившие о них команде npm.

Четыре JavaScript-библиотеки содержали функцию сбора токенов доступа Discord, играющих роль cookie-файлов аутентификации, что позволяло злоумышленникам взламывать учетные записи разработчиков в Discord.

Пятый npm-пакет содержал PirateStealer – вредоносное ПО для извлечения из приложений и учетных записей Discord такой информации, как данные платежных карт, учетные данные и персональная информация.

Еще семь библиотек содержали функции сбора переменных среды, то есть, данных локальной среды программирования разработчика. Как правило, это данные о пользователе и ОС, но в некоторых случаях эта информация может также включать ключи API и учетные данные.

Последний, семнадцатый, пакет загружал и устанавливал полноценный троян для удаленного доступа (RAT), обеспечивающий злоумышленникам полный контроль над компьютером разработчика.

В нынешнем году количество вредоносных пакетов npm и PyPI, похищающих токены доступа Discord, существенно возросло. По мнению Полковиченко и Менаше, это может объясняться увеличением числа операций с использованием учетных записей в Discord для хостинга вредоносного ПО и похищения данных. Создатели вредоносных программ не хотят регистрировать собственные учетные записи разработчика, поэтому они просто взламывают или покупают доступ к чужим и оттуда проводят свои операции.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь