npm Security eliminó un paquete malicioso que robó datos de Discord y navegadores

Después de encontrar un código JavaScript malicioso en una de sus bibliotecas de paquetes, el equipo de seguridad de npm lo eliminó de su portal inmediatamente para evitar infectar a otros.

El código malicioso ya se ha descargado. 300 veces en dos semanas y fue utilizado por Fall Guys desarrolladores de juegos. Según los informes, el código malicioso estaba robando archivos confidenciales de los navegadores de los usuarios y clientes de Discord.

Un código para robar la discordia y los archivos del navegador.

El software npm es un administrador de paquetes para la plataforma Node JavaScript, que organiza los módulos que encontrará el nodo. Gestiona de forma inteligente los conflictos de dependencia de módulos entre nodos y se puede configurar para muchos otros usos.

Image Via PixaBay

Mantiene un portal para bibliotecas públicas y privadas para Node JavaScript y encontró código malicioso en uno de sus paquetes.

El código malicioso se encontró en una biblioteca JS llamada «Fall Guys«, Que pretendía proporcionar una interfaz para el juego Fall Guys: Ultimate Knockout API de juegos. El juego fue tan popular que vendió más de 7 millones de copias en Steam, lo que lo convirtió en el juego más descargado en PlayStation Plus.

El código malicioso en la biblioteca ha existido durante más de dos semanas antes de que el equipo de seguridad de npm lo encuentre y lo elimine. Mientras tanto, los desarrolladores lo han descargado unas 300 veces para incluirlo en las API de sus juegos.

Según el equipo, el código estaba destinado a robar archivos de archivos locales de navegadores y Discord. Los caminos específicos que tomaría son;

  • / AppData / Local / Google / Chrome / User x20Data / Default / Local x20Storage / leveldb
  • / AppData / Roaming / Opera x20Software / Opera x20Stable / Local x20Storage / leveldb
  • / AppData / Local / Yandex / YandexBrowser / User x20Data / Default / Local x20Storage / leveldb
  • / AppData / Local / BraveSoftware / Brave-Browser / User x20Data / Default / Local x20Storage / leveldb
  • / AppData / Roaming / discord / Local x20Storage / leveldb

Si bien los primeros cuatro archivos son bases de datos de LevelDB para navegadores específicos, como Chrome, Opera, navegador Yandex, y Valiente, este último pertenece a La discordia Base de datos LevelDB. Cuando los desarrolladores infectados ejecutan el código malicioso en las API de su juego, se ejecutará para evaluar estos archivos.

Estos archivos contendrían el historial de navegación en el caso de los navegadores y el contenido relacionado con el Canal en el caso de Discord. Es interesante ver que no roba ni monitorea ninguna sesión de cookies o credenciales almacenadas en el navegador. Aún así, npm security advirtió sobre las amenazas de reconocimiento y recomendó a los desarrolladores que eliminaran este código de sus paquetes.