NPM 軟件包竊取敏感 Discord 和瀏覽器文件的惡意代碼

Sonatype的安全研究人員今天發現了一個npm軟件包（JavaScript庫），該軟件包包含旨在從用戶的瀏覽器和Discord應用程序中竊取敏感文件的惡意代碼。

名為 discord.dll 的惡意JavaScript庫仍可以通過npm，Web門戶，命令行實用程序以及JavaScript程序員的程序包管理器使用。

開發人員使用npm加載并更新其JavaScript項目中的庫（npm程序包）-可能是網站，桌面應用程序或服務器應用程序。

Sonatype說，一旦安裝，discord.dll將運行惡意代碼，以在開發人員的計算機上搜索某些應用程序，然后檢索其內部LevelDB數據庫。

目標應用程序包括 Google，Brave， Opera和 Yandex之類的瀏覽器，以及 *Discord *即時消息應用程序，如今在大多數在線游戲中都流行。

惡意軟件檢索的文件是LevelDB數據庫，上述應用程序使用該數據庫來存儲信息，例如瀏覽歷史記錄和各種訪問令牌。

Discord.dll將讀取文件，并嘗試將其內容發布到Discord通道中作為 Discord webhook。

鏈接到另一個惡意NPM軟件包

Sonatype表示，經過審查，發現該惡意代碼是它在8月份看到的惡意庫的改進版本。 這個庫也被稱為fallguys，盡管以一種不太復雜的方式收集了相同的信息。

Sonatype是一家將公共軟件包存儲庫作為其開發人員安全操作（DevSecOps）服務的一部分進行監視的公司，該公司表示discord.dll已在五個多月前發布，已被下載了100多次。

相比之下，盡管fallguys軟件包僅在npm門戶上提供了兩周的時間，卻被下載了300多次。

第一個軟件包成功的原因可能與一個事實有關，即fallguys包含一個自述文件，該文件向該庫發布廣告，作為“ Fall Guys：Ultimate Knockout ”游戲API的接口。另一方面，discord.dll程序包包含一個空的README，表明該項目已被放棄，或者從未被其創建者“正式”啟動。

檢測到其他可疑的NPM軟件包

discord.dll軟件包仍可在npm門戶上找到，但Sonatype表示已通知npm安全團隊，該軟件包很可能在未來幾天內被刪除。

此外，研究人員還說，discord.dll軟件包的作者還已在npm網站上上傳了另外十個軟件包，其中三個包含惡意行為，這些惡意行為會下載并運行三個神秘的EXE文件，這是JavaScript（npm）的非標準行為。

由于無法檢索EXE文件，研究人員無法完全確認這三個庫的性質，這三個庫名為discord.app（下載88個），ac-addon（下載46個）和 wsbd.js（下載38個）。