Портал NPM удалил библиотеку, которая воровала данные разработчиков

Группа безопасности портала Npm удалила вредоносную библиотеку на JavaScript, которая была замаскирована, как API для популярной сетевой игры «Fall Guys: Ultimate Knockout», а фактически занималась воровством конфиденциальных файлов из браузера пользователей пакета и приложения Discord, об этом 30 августа сообщает ресурс OpenNet.

Специалисты сообщают, что вредоносное содержание выводит заставку в ACSII-графике с персонажем игры «Fall Guys: Ultimate Knockout». Кроме того, данный модуль содержал код, который пытался украсть пять системных файлов через webhook к мессенджеру Discord.

Первые четыре файла — это базы данных LevelDB, относящиеся к таким браузерам, как Chrome, Opera, Яндекс.Браузер и Brave. Эти файлы обычно хранят информацию, относящуюся к истории просмотров пользователя. Пятым файлом была аналогичная база данных LevelDB, но для клиента Discord Windows, который аналогичным образом хранит информацию о каналах, к которым присоединился пользователь, и другой контент, специфичный для каналов.

Модуль с вредоносной «начинкой» появился в начале августа, однако его скачали всего 288 раз, прежде чем он был заблокирован.

Специалисты предполагают, что вредоносный пакет проводил своего рода разведку, собирая данные о жертвах и пытаясь оценить, к каким сайтам обращались зараженные разработчики, прежде чем предоставить более вредоносный код через обновление пакета в будущем.