Paquete Npm atrapado robando archivos sensibles de Discord y navegador



Los investigadores de seguridad de Sonatype han descubierto hoy un paquete npm (biblioteca JavaScript) que contiene código malicioso diseñado para robar archivos confidenciales de los navegadores de un usuario y la aplicación Discord. Llamada discord.dll, la biblioteca de JavaScript maliciosa todavía está disponible a través de npm, un portal web, una utilidad de línea de comandos y un administrador de paquetes para programadores de JavaScript.
Los desarrolladores usan npm para cargar y luego actualizar bibliotecas (paquetes npm) dentro de sus proyectos de JavaScript, pueden ser sitios web, aplicaciones de escritorio o aplicaciones de servidor. Sonatype dice que una vez instalado, discord.dll ejecutará un código malicioso para buscar ciertas aplicaciones en la computadora de un desarrollador y luego recuperar sus bases de datos internas de LevelDB. Las aplicaciones específicas incluyen navegadores como Google Chrome, Brave, Opera y el navegador Yandex, pero también la aplicación de mensajería instantánea Discord, popular hoy en día entre la mayoría de los jugadores en línea. Los archivos que recupera el malware son bases de datos de LevelDB, que las aplicaciones mencionadas anteriormente utilizan para almacenar información como historiales de navegación y varios tokens de acceso. Discord.
dll leería los archivos e intentaría publicar su contenido en un canal de Discord (como un webhook de Discord). Sonatype dijo que después de una revisión, descubrió que el código malicioso era una versión mejorada de una biblioteca maliciosa que vio en agosto. Esta biblioteca, llamada Fallguys, también recopilaba la misma información, aunque de una manera menos complicada.
Sonatype, una compañía que monitorea los repositorios de paquetes públicos como parte de sus servicios de operaciones de seguridad para desarrolladores (DevSecOps), dijo que discord.dll se publicó hace más de cinco meses y se descargó más de 100 veces. Por el contrario, a pesar de estar disponible en el portal npm durante solo dos semanas, el paquete fallguys se descargó más de 300 veces.
La razón del éxito del primer paquete se puede vincular al hecho de que fallguys contenía un archivo README que anunciaba la biblioteca como una interfaz para la API del juego "Fall Guys: Ultimate Knockout". Por otro lado, el paquete discord.dll contenía un archivo README vacío, lo que sugiere que el proyecto fue abandonado o que su creador nunca lo lanzó "oficialmente".
El paquete discord.dll todavía está disponible en el portal npm, pero Sonatype dijo que ya notificó al equipo de seguridad de npm, y es muy probable que el paquete se elimine en los próximos días. Además, los investigadores también dijeron que el autor del paquete discord.
dll también había cargado otros diez paquetes en el sitio npm, tres de los cuales contenían un comportamiento malicioso que descargaría y ejecutaría tres misteriosos archivos EXE, un comportamiento no estándar para JavaScript. (npm) paquetes. Dado que no se pudieron recuperar los archivos EXE, los investigadores no pudieron confirmar completamente la naturaleza de las tres bibliotecas, llamadas discord.app (88 descargas), ac-addon (46 descargas) y wsbd.
js (38 descargas) . pag VER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı