Автор:
В репозитории NPM выявлен вредоносный пакет discord.dll, который оставался незамеченным 5 месяцев, но был загружен лишь около 100 раз. Пакет включал скрипт, активируемый после завершения установки (обработчик postinstall) и передающий некоторые локальные файлы через webhook к мессенджеру Discord. Передавались файлы профиля пользователя и БД в формате leveldb из каталогов браузеров на базе движка Chromium (Chrome, Opera, Yandex Browser, Brave) и приложения Discord, а также информация о системе и IP-адресе жертвы. Метод передачи данных в discord.dll во многом напоминает вредоносный пакет fallguys, выявленный в августе.
Тем же автором в репозитории NPM было размещено ещё десять пакетов, из которых три (discord.app, wsbd.js и ac-addon), имеющие 88, 38 и 46 загрузок, потенциально нацелены на совершение вредоносных действий. Указанные пакеты пытаются запустить исполняемые файлы bd.exe, dropper.exe и lib.exe, при этом пока нет данных о том, что это за файлы и каким образом они загружаются на систему жертвы (в самих пакетах данные файлы отсутствуют).
Источник: https://www.opennet.ru/opennews/art.shtml?num=54061
