На портале npm обнаружена вредоносная JavaScript-библиотека discord.dll.
Исследователи компании Sonatype
https://blog.sonatype.com/discord.dl...-npm-fallguys-пакет npm (библиотеку JavaScript), содержащий вредоносный код, предназначенный для похищения конфиденциальных файлов из браузера пользователя и приложения Discord.
Вредоносная JavaScript-библиотека discord.dll до сих пор доступна на npm – web-портале, утилите командной строки и пакетном менеджере для разработчиков на JavaScript. Разработчики используют npm для загрузки и последующего обновления библиотек (пакетов npm) в своих JavaScript-проектах, будь то web-сайты, десктопные или серверные приложения.
Как сообщили исследователи, после установки discord.dll запускает вредоносный код, ищущий на компьютере разработчика определенные приложения и извлекающий из них внутренние библиотеки LevelDB, где хранится история браузинга и токены доступа. В список целевых приложений входят Google Chrome, Brave, Opera, Yandex Browser, а также популярное среди геймеров приложение для общения Discord. Вредоносная библиотека читает файлы и пытается опубликовать их содержимое на Discord-канале.
По словам исследователей, вредоносный код является улучшенной версией вредоносной библиотеки fallguys, обнаруженной в августе. Библиотека собирала те же данные, но более простым путем. Библиотека discord.dll была опубликована более пяти месяцев назад и загружена свыше 100 раз. В отличие от discord.dll всего за две недели fallguys была загружена более 300 раз.
Причина успеха первого пакета объясняется тем, что в нем содержался файл README, рекламирующий библиотеку как интерфейс к игровому API «Fall Guys: Ultimate Knockout». С другой стороны, пакет discord.dll содержал пустой файл README – свидетельство того, что проект либо был заброшен, либо никогда не был «официально» запущен его создателем.
Пакет discord.dll по-прежнему доступен на портале npm, но Sonatype уже уведомила группу безопасности npm, и, скорее всего, он будет удален в ближайшие дни.
04-24-2025, 06:21 AM
Threaded Mode