Sonatype安全研究人員在NPM軟件包中找到了惡意代碼,該軟件包旨在從Google Chrome,Brave,Opera,Yandex瀏覽器和Discord應用程序中竊取敏感文件。
Sonatype是一家提供開發人員安全操作(DEVSecops)服務的安全公司,因此還可以監視公共包裝存儲庫。該公司表示,自從五個月前出版以來,Discord.dll已下載了100次以上。
根據ZDNET,惡意的JavaScript庫稱為discord.dll仍在Web門戶網站上可用NPM,Inc。成立於2014年,是JavaScript程序員的軟件包和命令行實用經理。開發人員使用該站點在其JavaScript項目中加載和更新其庫,包括桌面應用程序,服務器應用程序或網站。
三月,Github獲得了NPM這對於JavaScript社區來說至關重要,在世界上最大的開發人員生態系統之一中提供支持。
Discord惡意軟件
Sonatype研究人員在博客文章在安裝了discord.dll之後,它將運行一個惡意代碼,以搜索用戶計算機中的某些應用程序並檢索內部級別DB數據庫。
這些文件由Discord Instant消息傳遞應用程序使用,該應用程序目前在在線遊戲玩家中流行,以及Google Chrome,Brave,Opera和Yandex等瀏覽器。這些應用程序使用LevelDB數據庫文件來存儲諸如訪問令牌和瀏覽歷史記錄之類的信息。訪問後,Discord.dll將讀取這些文件,並嘗試將它們發佈到Discord頻道中。
儘管Sonatype已經為NPM安全團隊提供了有關Discord.dll的建議,但該軟件包仍在NPM門戶網站上顯示,而研究人員表示可能很快就會刪除。
同時,研究人員發現了Discord.dll的作者,在NPM站點上又上傳了10個包裹。在這些軟件包中,三個庫包括惡意行為,這些行為將下載並激活三個神秘的EXE數據。
但是,研究人員無法完全確認三個圖書館的性質,其中包括AC-ADDON,,,,WSBD.JS, 和discord.app由於他們無法檢索這些EXE文件。這不是NPM JavaScript軟件包的標準行為。
惡意軟件規格和時間表
這是一些有趣的細節關於這些軟件包的信息,包括下載次數和時間表:
- discord.dll -100下載,五個月前出版
- Discord.App -88下載,5個月前出版。
- AC -ADDON -46下載,14天前出版。
- WSBD.JS -38下載,21小時前出版。
另一個惡意NPM軟件包的增強版本
在審查了惡意軟件後,Sonatype發現惡意代碼是增強版本的落下,這是它在9月發現的惡意圖書館。 Fallguys軟件包還以更簡化的方式收集了類似的信息。
Fallguys軟件包已下載了300次以上,但僅在NPM門戶網站上可用兩週。它的成功與Fallguys還包含了一個讀數文件有關的事實,該文件將圖書館作為界面宣傳為“秋天的傢伙:終極淘汰賽“遊戲API。相反,Discord.dll軟件包顯示了一個空的讀數,這表明它從來沒有被造物主啟動或放棄。
這歸技術時代擁有
由CJ Robles撰寫
