У популярнейшего JavaScript-менеджера пакетов npm (Node Package Manager) вновь проблемы. Исследователи из компании Sonatype обнаружили вредоносную библиотеку discord.dll, опубликованную около 5 месяцев назад и предназначенную для кражи конфиденциальных файлов из браузеров и Discord.

После установки discord.dll запускает вредоносный код для поиска на компьютере разработчика определенных приложений, а затем извлекает их внутренние базы данных LevelDB, где хранятся такие данные, как история браузинга и различные токены доступа.

В частности малварь интересовалась браузерами Google Chrome, Brave, Opera и Яндекс.Браузер, а также мессенджером Discord, в основном популярном среди геймеров. Похищенные из этих приложений данные discord.dll отправляла в специальный Discord-канал.

Исследователи пишут, что эта малварь представляет собой улучшенную версию другой вредоносной библиотеки, обнаруженной в начале осени. Напомню, что тогда вредоносный пакет fallguys, якобы предназначенный для работы с API игры Fall Guys: Ultimate Knockout, собирал ту же информацию о разработчиках, но чуть иным способом.

Интересно, что fallguys был доступен для загрузки лишь две недели, но за это время пакет успели скачать более 300 раз. В свою очередь discord.dll был доступен почти полгода, но успел набрать лишь около 100 загрузок. Исследователи считают, что популярность первого пакета могла объясняться содержанием его файла README, где библиотека рекламировалась как интерфейс для API Fall Guys: Ultimate Knockout. Тогда как README-файл discord.dll был пуст, а это обычно свидетельствует о том, что проект заброшен или вообще не был «официально» запущен автором.

В настоящее время вредоносный discord.dll уже удален командой безопасности npm, но автор пакета успел загрузить на сайт десять других пакетов, три из которых тоже демонстрируют вредоносное поведение: загружают и запускают три непонятных EXE-файла (bd.exe, dropper.exe и lib.exe). К сожалению, исследователям не удалось изучить эти файлы, поэтому окончательные выводы сделаны не были. Однако Sonatype все равно предупреждает о потенциальной опасности пакетов discord.app  (88 загрузок), ac-addon (46 загрузок) и wsbd.js  (38 загрузок), которые по-прежнему доступны для скачивания.

1 комментарий

  1. Аватар

    Anon

    10.11.2020 в 12:57

    Это они ещё неаккуратно работали. А сколько таких пакетов сидят в «stealth mode»…

Оставить мнение