Pacote npm malicioso ‘fallguys’ removido do repositório oficial

A equipe de segurança do npm removeu a biblioteca JavaScript “ fallguys ” do portal npm porque ela continha um código malicioso usado para roubar arquivos confidenciais do navegador e do aplicativo Discord de um usuário infectado.

A biblioteca fallguys afirmava fornecer uma interface para a API do jogo “ Fall Guys: Ultimate Knockout ”. O pacote ficou disponível no repositório por duas semanas e foi baixado quase 300 vezes.

“Fallguys continha código malicioso que tentava ler arquivos confidenciais locais e exfiltrar informações por meio de um webhook Discord.” lê do npm consultivo .

Todo projeto que integra a biblioteca maliciosa, na execução fará com que o código malicioso seja executado.

Os especialistas notaram que o pacote malicioso foi projetado para roubar apenas informações confidenciais específicas dos sistemas dos desenvolvedores infectados.

Este código malicioso tentaria acessar o conteúdo dos cinco arquivos locais a seguir e, em seguida, postaria os dados dentro de um canal Discord:

• / AppData / Local / Google / Chrome / User \ x20Data / Default / Local \ x20Storage / leveldb
• / AppData / Roaming / Opera \ x20Software / Opera \ x20Stable / Local \ x20Storage / leveldb
• / AppData / Local / Yandex / YandexBrowser / User \ x20Data / Default / Local \ x20Storage / leveldb
• / AppData / Local / BraveSoftware / Brave-Browser / User \ x20Data / Default / Local \ x20Storage / leveldb
• / AppData / Roaming / discord / Local \ x20Storage / leveldb

Os quatro primeiros arquivos são bancos de dados LevelDB usados ​​em navegadores comuns como Chrome, Opera, Yandex Browser e Brave. Os arquivos contêm os dados do histórico de navegação do usuário.

O arquivo / AppData / Roaming / discord / Local \ x20Storage / leveldb é uma espécie de banco de dados LevelDB para o cliente Discord Windows que é usado para armazenar informações sobre os canais em que um usuário se juntou.

Especialistas especulam que o pacote malicioso foi usado para coletar informações sobre os desenvolvedores que o usam, como os sites que estão acessando.

“Remova o pacote do seu sistema e certifique-se de que todas as credenciais comprometidas sejam trocadas.” conclui o comunicado.

Fonte: https://securityaffairs.co/wordpress/107691/malware/npm-package-fallguys-removed.html