NPM 软件包窃取敏感 Discord 和浏览器文件的恶意代码

Sonatype的安全研究人员今天发现了一个npm软件包（JavaScript库），该软件包包含旨在从用户的浏览器和Discord应用程序中窃取敏感文件的恶意代码。

名为 discord.dll 的恶意JavaScript库仍可以通过npm，Web门户，命令行实用程序以及JavaScript程序员的程序包管理器使用。

开发人员使用npm加载并更新其JavaScript项目中的库（npm程序包）-可能是网站，桌面应用程序或服务器应用程序。

Sonatype说，一旦安装，discord.dll将运行恶意代码，以在开发人员的计算机上搜索某些应用程序，然后检索其内部LevelDB数据库。

目标应用程序包括 Google，Brave， Opera和 Yandex之类的浏览器，以及 *Discord *即时消息应用程序，如今在大多数在线游戏中都流行。

恶意软件检索的文件是LevelDB数据库，上述应用程序使用该数据库来存储信息，例如浏览历史记录和各种访问令牌。

Discord.dll将读取文件，并尝试将其内容发布到Discord通道中作为 Discord webhook。

链接到另一个恶意NPM软件包

Sonatype表示，经过审查，发现该恶意代码是它在8月份看到的恶意库的改进版本。 这个库也被称为fallguys，尽管以一种不太复杂的方式收集了相同的信息。

Sonatype是一家将公共软件包存储库作为其开发人员安全操作（DevSecOps）服务的一部分进行监视的公司，该公司表示discord.dll已在五个多月前发布，已被下载了100多次。

相比之下，尽管fallguys软件包仅在npm门户上提供了两周的时间，却被下载了300多次。

第一个软件包成功的原因可能与一个事实有关，即fallguys包含一个自述文件，该文件向该库发布广告，作为“ Fall Guys：Ultimate Knockout ”游戏API的接口。另一方面，discord.dll程序包包含一个空的README，表明该项目已被放弃，或者从未被其创建者“正式”启动。

检测到其他可疑的NPM软件包

discord.dll软件包仍可在npm门户上找到，但Sonatype表示已通知npm安全团队，该软件包很可能在未来几天内被删除。

此外，研究人员还说，discord.dll软件包的作者还已在npm网站上上传了另外十个软件包，其中三个包含恶意行为，这些恶意行为会下载并运行三个神秘的EXE文件，这是JavaScript（npm）的非标准行为。

由于无法检索EXE文件，研究人员无法完全确认这三个库的性质，这三个库名为discord.app（下载88个），ac-addon（下载46个）和 wsbd.js（下载38个）。