Pacchetto Npm sorpreso a rubare file sensibili di Discord e del browser

I ricercatori di sicurezza di Sonatype hanno scoperto oggi un pacchetto npm (libreria JavaScript) che contiene codice dannoso progettato per rubare file sensibili dai browser di un utente e dall’applicazione Discord.

Denominata discord.dll, la libreria JavaScript dannosa è ancora disponibile tramite npm, un portale Web, un’utilità della riga di comando e un gestore di pacchetti per i programmatori JavaScript.

Gli sviluppatori utilizzano npm per caricare e quindi aggiornare le librerie (pacchetti npm) all’interno dei loro progetti JavaScript: possono essere siti Web, app desktop o applicazioni server.

Sonatype afferma che una volta installato, discord.dll eseguirà codice dannoso per cercare determinate applicazioni nel computer di uno sviluppatore e quindi recuperare i database LevelDB interni.

Le app mirate includono browser come Google ChromeBraveOpera e Yandex Browser, ma anche l’app di messaggistica istantanea Discord, popolare oggi tra la maggior parte dei giocatori online.

I file recuperati dal malware sono database LevelDB, che le app di cui sopra utilizzano per memorizzare informazioni come cronologie di navigazione e vari token di accesso.

Discord.dll legge i file e tenta di pubblicare il loro contenuto in un canale Discord (come webhook Discord).

COLLEGAMENTI A UN ALTRO PACCHETTO NPM DANNOSO

Sonatype ha affermato che dopo una revisione, ha scoperto che il codice dannoso era una versione migliorata di una libreria dannosa che aveva scoperto ad agosto. Anche questa libreria, nominata Fall Guys, raccoglieva le stesse informazioni, sebbene in modo meno complicato.

Sonatype, una società che monitora i repository di pacchetti pubblici come parte dei suoi servizi di sicurezza per gli sviluppatori (DevSecOps), ha affermato che discord.dll è stato pubblicato più di cinque mesi fa ed è stato scaricato più di 100 volte.

Al contrario, nonostante sia disponibile sul portale npm solo per due settimane, il pacchetto fallguys è stato scaricato più di 300 volte.

La ragione del successo del primo pacchetto può essere collegata al fatto che fallguys conteneva un file README che pubblicizzava la libreria come interfaccia per l’API di gioco “Fall Guys: Ultimate Knockout“. D’altra parte, il pacchetto discord.dll conteneva un README vuoto, suggerendo che il progetto era stato abbandonato o mai “ufficialmente” lanciato dal suo creatore.

RILEVATI ALTRI PACCHETTI NPM SOSPETTI

Il pacchetto discord.dll è ancora disponibile sul portale npm, ma Sonatype ha detto di aver già informato il team di sicurezza di npm e molto probabilmente il pacchetto verrà rimosso nei prossimi giorni.

Inoltre, i ricercatori hanno anche affermato che l’autore del pacchetto discord.dll aveva anche caricato altri dieci pacchetti sul sito npm, tre dei quali contenevano comportamenti dannosi che avrebbero scaricato ed eseguito tre misteriosi file EXE, un comportamento non standard per i pacchetti JavaScript (npm).

Poiché non è stato possibile recuperare i file EXE, i ricercatori non sono stati in grado di confermare completamente la natura delle tre librerie, denominate discord.app (88 download), ac-addon (46 download) e wsbd.js (38 download).