Discord ve tarayıcı dosyalarını çalmaya çalışan kötü amaçlı npm paketi yakalandı

Teknoloji Haberleri

Kötü niyetli kod, “Fall Guys: Ultimate Knockout” oyun API’siyle çalışmak için bir JavaScript kitaplığında gizlendi.

Npm güvenlik ekibi, virüs bulaşmış bir kullanıcının tarayıcısından ve Discord uygulamasından hassas dosyaları çalmak için tasarımı yapılmış npm portalından kötü amaçlı bir JavaScript kitaplığını kaldırdı.

Kötü amaçlı paket, ” Fall Guys: Ultimate Knockout ” oyun API’sine bir arayüz sağladığını iddia eden ” fallguys ” adlı bir JavaScript kitaplığıydı .

Ancak, geliştiriciler kitaplığı indirdikten ve projelerine entegre ettikten sonra, virüslü geliştirici kendi kodunu çalıştırdığında, kötü amaçlı paket de yürütülür.

Npm güvenlik ekibi başına, bu kod beş yerel dosyaya erişmeye, içeriklerini okumaya ve ardından verileri bir Discord kanalına ( Discord webhook ) göndermeye çalışacaktı .

Paketin okumaya çalışacağı beş dosya şunlardır:

  • /AppData/Local/Google/Chrome/Userx20Data/Default/Localx20Storage/leveldb
  • /AppData/Roaming/Operax20Software/Operax20Stable/Localx20Storage/leveldb
  • /AppData/Local/Yandex/YandexBrowser/Userx20Data/Default/Localx20Storage/leveldb
  • /AppData/Local/BraveSoftware/Brave-Browser/Userx20Data/Default/Localx20Storage/leveldb
  • /AppData/Roaming/discord/Localx20Storage/leveldb

İlk dört dosya, Chrome, Opera, Yandex Browser ve Brave gibi tarayıcılara özgü LevelDB veritabanlarıdır. Bu dosyalar genelde bir kullanıcının tarama geçmişine özgü bilgileri depolar.

Son dosya benzer bir LevelDB veritabanıydı, ancak Discord Windows istemcisi için, benzer şekilde bir kullanıcının katılmış olduğu kanallar ve diğer kanala özgü içerikler hakkında bilgi depoluyor.

Kötü amaçlı paketin, virüs bulaşmış geliştiricilerin bilgisayarlarından oturum tanımlama bilgileri ya da kimlik bilgilerini depolayan tarayıcı veritabanı gibi diğer hassas verileri çalmadığı unutulmamalıdır.

Kötü amaçlı paket, daha sonra pakete bir güncelleme yolu ile daha fazla hedeflenmiş kod sunmadan önce, bir tür keşif gerçekleştiriyor, kurbanlar hakkında veri topluyor ve virüslü geliştiricilerin hangi sitelere eriştiğini değerlendirmeye çalışıyor gibi görünüyor.

Npm güvenlik ekibi, geliştiricilere kötü amaçlı paketi projelerinden kaldırmalarını öneri eder.

Kötü amaçlı paket sitede iki hafta boyunca mevcuttu ve bu süre zarfında yaklaşık 300 kez indirildi.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir