Pacote npm malicioso ‘fallguys’ removido do repositório oficial
A equipe de segurança do npm removeu uma biblioteca JavaScript maliciosa do repositório do npm que foi projetada para roubar arquivos confidenciais das vítimas.
A equipe de segurança do npm removeu a biblioteca JavaScript “ fallguys ” do portal npm porque ela continha um código malicioso usado para roubar arquivos confidenciais do navegador e do aplicativo Discord de um usuário infectado.
A biblioteca fallguys afirmava fornecer uma interface para a API do jogo “ Fall Guys: Ultimate Knockout ”. O pacote ficou disponível no repositório por duas semanas e foi baixado quase 300 vezes.
“Fallguys continha código malicioso que tentava ler arquivos confidenciais locais e exfiltrar informações por meio de um webhook Discord.” lê do npm consultivo .
Todo projeto que integra a biblioteca maliciosa, na execução fará com que o código malicioso seja executado.
Os especialistas notaram que o pacote malicioso foi projetado para roubar apenas informações confidenciais específicas dos sistemas dos desenvolvedores infectados.
Este código malicioso tentaria acessar o conteúdo dos cinco arquivos locais a seguir e, em seguida, postaria os dados dentro de um canal Discord:
- / AppData / Local / Google / Chrome / User \ x20Data / Default / Local \ x20Storage / leveldb
- / AppData / Roaming / Opera \ x20Software / Opera \ x20Stable / Local \ x20Storage / leveldb
- / AppData / Local / Yandex / YandexBrowser / User \ x20Data / Default / Local \ x20Storage / leveldb
- / AppData / Local / BraveSoftware / Brave-Browser / User \ x20Data / Default / Local \ x20Storage / leveldb
- / AppData / Roaming / discord / Local \ x20Storage / leveldb
Os quatro primeiros arquivos são bancos de dados LevelDB usados em navegadores comuns como Chrome, Opera, Yandex Browser e Brave. Os arquivos contêm os dados do histórico de navegação do usuário.
O arquivo / AppData / Roaming / discord / Local \ x20Storage / leveldb é uma espécie de banco de dados LevelDB para o cliente Discord Windows que é usado para armazenar informações sobre os canais em que um usuário se juntou.
Especialistas especulam que o pacote malicioso foi usado para coletar informações sobre os desenvolvedores que o usam, como os sites que estão acessando.
“Remova o pacote do seu sistema e certifique-se de que todas as credenciais comprometidas sejam trocadas.” conclui o comunicado.
Fonte: https://securityaffairs.co/wordpress/107691/malware/npm-package-fallguys-removed.html
