恶意npm程序包试图窃取敏感的Discord和浏览器文件

恶意代码隐藏在JavaScript库中，无法与“ Fall Guys：Ultimate Knockout”游戏API一起使用。

npm安全团队已从npm门户中删除了一个恶意JavaScript库，该库旨在从受感染用户的浏览器和Discord应用程序中窃取敏感文件。

恶意软件包是一个名为“ fallguys ” 的JavaScript库，该库声称提供了“ Fall Guys：Ultimate Knockout ”游戏API的接口。

但是，在开发人员下载该库并将其集成到项目中之后，当受感染的开发人员运行其代码时，恶意软件包也将执行。

对于npm安全团队，此代码将尝试访问五个本地文件，读取它们的内容，然后将数据发布到Discord通道内（作为  Discord webhook）。

程序包将尝试读取的五个文件是：

/ AppData / Local / Google / Chrome / User  x20Data / Default / Local  x20Storage / leveldb

/ AppData / Roaming / Opera  x20Software / Opera  x20Stable / Local  x20Storage / leveldb

/ AppData / Local / Yandex / YandexBrowser / User  x20Data / Default / Local  x20Storage / leveldb

/ AppData / Local / BraveSoftware / Brave-Browser / User  x20Data / Default / Local  x20Storage / leveldb

/ AppData / Roaming / discord / Local  x20Storage / leveldb

前四个文件是特定于Chrome，Opera，Yandex Browser和Brave等浏览器的LevelDB数据库。这些文件通常存储特定于用户浏览历史的信息。

最后一个文件是一个类似的LevelDB数据库，但针对Discord Windows客户端，该数据库类似地在用户已加入的频道以及其他特定于频道的内容上存储信息。

值得注意的是，恶意程序包并未从受感染的开发人员的计算机中窃取其他敏感数据，例如会话cookie或存储凭据的浏览器数据库。

该恶意程序包似乎一直在进行某种形式的侦察，收集有关受害者的数据，并试图评估受感染的开发人员正在访问哪些站点，然后再通过对该程序包的更新来提供更具针对性的代码。

npm安全团队建议开发人员从其项目中删除恶意软件包。

该恶意程序包在网站上可用了两个星期，在此期间，该程序包被下载了近300次。