为精准用户画像,恶意 npm 软件包窃取浏览器文件

文章正文
2020-09-02 14:14

据科技媒体 ZDNet 的报道,npm 安全团队近日发现了一个恶意的 JavaScript 库,该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。

这个名为 "fallguys" 的 JavaScript 库声称提供了 "Fall Guys: Ultimate Knockout" 游戏的 API 接口。但实际上它附带恶意程序,用户在运行后即被感染。

根据 npm 安全团队的说法,此代码将尝试访问五个本地文件,读取其内容,然后利用 Discord Webhook 将数据发布到 Discord 通道内。Discord 的内置 Webhooks 是一种简便的方法,可以将消息和数据更新自动发送到服务器中的文本通道。

程序包尝试读取的五个文件分别是:

/AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb

/AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb

/AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb

/AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb

/AppData/Roaming/discord/Local\x20Storage/leveldb

前四个文件是特定于 Chrome、Opera、Yandex Browser 和 Brave 等浏览器的 LevelDB 数据库。这些文件通常存储特定于用户浏览历史记录的信息。

最后一个文件也是类似的 LevelDB 数据库,但用于 Discord Windows 客户端,该数据库类似地存储有关用户已加入的频道以及其他特定于频道的内容的信息。

令人寻味的是,该软件包并未收集存储凭据一类的更敏感信息,而似乎是在观察受感染者,评估他们经常访问的站点,再根据此来更新软件包,提供更有针对性的代码。

该软件包上架了两个星期,被下载近 300 次。目前,npm 安全团队已将此软件包删除。

文章评论