0
0
Pesquisadores de segurança descobriram hoje um pacote npm que contém código malicioso projetado para roubar arquivos confidenciais do Discord e do navegador.
O pesquisador do Sonatype Ax Sharma descobriu um pacote npm, apelidado de discord.dll,que contém código malicioso projetado para roubar arquivos confidenciais dos navegadores do usuário e do aplicativo Discord.
A biblioteca JavaScript maliciosa foi enviada para o repositório de pacotes npm e já foi removida. O repo é usado pelos desenvolvedores para incluir bibliotecas (pacotes npm) dentro de seus projetos.
O projeto discord.dll está disponível no portal NPM há cinco meses e foi baixado por desenvolvedores cem vezes.
Os pesquisadores do Sonatype relataram que, uma vez instalado, o descauto malicioso.dll executará códigos maliciosos para procurar determinados aplicativos no computador do desenvolvedor e, em seguida, recuperar seus bancos de dados internos levelDB.
Os bancos de dados LevelDB são usados por vários aplicativos para armazenar informações como históricos de navegação e tokens de acesso.
As informações coletadas pelo código malicioso incluem:
- Tokens de usuário de Discord, Discórdia Public Test Build (PTB) e Discord Canary
- Endereço IP público da vítima via https://api.ipify.org/?format=json
- Nome de usuário do PC e nome de usuário Discord
- Informações do navegador dos bancos de dados LevelDB
“A discórdia.dll é um componente npm que conduz atividades sinistras que são difíceis de detectar antecipadamente. Ele também usa a dependência legítima do Discord.js npm para potencialmente distrair os pesquisadores de suas atividades nefastas.” lê a análise publicada por Sonatype.
“O que torna o pacote difícil de analisar é que ele consiste em vários arquivos, quase todos os quais são fortemente ofuscados e têm strings codificadas em todos os lugares.”
O especialista apontou que a discórdia.dll é uma sucessora do pacote de falgos que foi descoberto em agosto. A biblioteca JavaScript “falgoys” estava contendo um código malicioso usado para roubar arquivos confidenciais do navegador de um usuário infectado e do aplicativo Discord.
O código malicioso foi projetado para roubar dados confidenciais dos principais navegadores, incluindo Google Chrome, Brave, Opera e o Yandex Browser. O especialista também notou que o código malicioso também foi capaz de roubar dados confidenciais do aplicativo de mensagens instantâneas Discord, que é muito popular em comunidades de jogos online.
“Desobscodificar e reformar “app.js” revela o código NodeJS que é um pouco mais fácil para os olhos. O código tem referências a Discord, webhooks, configuração e obtenção de cookies, “envio” de dados, tokens Discord e arquivos do navegador da Web.” continua a análise.
O Discord.dll é capaz de ler os arquivos e postar seu conteúdo em um canal Discord na forma de um webhook Discord.
De acordo com os pesquisadores, o autor do pacote discord.dll também havia carregado outros dez pacotes no repositório npm, três dos quais continham comportamento malicioso que baixaria e executaria três arquivos EXE discord.app, ac-addone wsbd.js.
A presença de pacotes maliciosos de npm no repositório oficial está se tornando frequente.
Na semana passada, a equipe de segurança da NPM removeu uma biblioteca JavaScript maliciosa chamada “twilio-npm” de seu repositório porque continha um código para estabelecer backdoors nos computadores dos programadores. Npm é o maior repositório de pacotes para qualquer linguagem de programação.
Em outubro, a equipe do NPM removeu quatro pacotes JavaScript do portal npm porque continham código malicioso. Npm é o maior repositório de pacotes para qualquer linguagem de programação.
Os quatro pacotes, que tiveram um total de mil downloads, são:
Isso marca a quarta grande queda de um pacote malicioso nos últimos três meses.
No final de agosto, a equipe removeu uma biblioteca npm maliciosa (JavaScript) projetada para roubar arquivos confidenciais de um navegador de usuários infectados e do aplicativo Discord.
Em setembro, a equipe de segurança removeu quatro bibliotecas npm (JavaScript) para coletar detalhes do usuário e enviar os dados roubados para uma página pública do GitHub.
Em outubro, a equipe da NPM removeu três pacotes que também foram pegos abrindo conchas reversas (backdoors) em computadores desenvolvedores. Os três pacotes também foram descobertos pelo Sonatype. Ao contrário do descoberto no fim de semana, esses três também trabalharam em sistemas Windows, e não apenas sistemas semelhantes ao UNIX.
FONTE: SECURITY AFFAIRS