24.09.2020

В NPM-пакете fallguys выявлена вредоносная активность


Разработчики NPM предупредили об удалении из репозитория пакета fallguys из-за выявлении в нём вредоносной активности. Помимо заявленной реализации API для взаимодействия с игрой «Fall Guys: Ultimate Knockout» указанный модуль включал код, пытающийся передавать некоторые системные файлы через webhook к мессенджеру Discord. Модуль был опубликован в начале августа, но сумел набрать лишь 288 загрузок, прежде чем был блокирован.

Вредоносная активность была нацелена на компрометацию пользователей Windows. Вовне передавались следующие файлы, включающие БД с историей навигации в браузерах на основе движка Chromium и клиенте Discord (предполагается, что модуль был блокирован на стадии сбора данных о пользователях и более опасный вредоносный код мог бы быть доставлен в одном из обновлений):

  • /AppData/Local/Google/Chrome/Userx20Data/Default/Localx20Storage/leveldb
  • /AppData/Roaming/Operax20Software/Operax20Stable/Localx20Storage/leveldb
  • /AppData/Local/Yandex/YandexBrowser/Userx20Data/Default/Localx20Storage/leveldb
  • /AppData/Local/BraveSoftware/Brave-Browser/Userx20Data/Default/Localx20Storage/leveldb
  • /AppData/Roaming/discord/Localx20Storage/leveldb

Источник: https://www.opennet.ru/opennews/art.shtml?num=53621

Добавить комментарий