Masterhacks Blog

Un mundo de información a tu alcance

Detectan paquete malicioso en npm que estuvo robando archivos sensibles

Stepanenko04 mins

El equipo de seguridad de npm ha eliminado una biblioteca de JavaScript maliciosa de su portal, que fue diseñada para robar archivos confidenciales del navegador de un usuario infectado y la aplicación Discord.

El paquete malicioso era una biblioteca de JavaScript llamada «fallguys«, que pretendía proporcionar una interfaz para la API del juego «Fall Guys: Ultimate Knockout».

Sin embargo, después de descargar la biblioteca e integrarla dentro de los proyectos, cuando el desarrollador ejecuta su código, el paquete malicioso también se ejecuta.

Según el equipo de seguridad de npm, el código intentaría acceder a cinco archivos locales, leer su contenido y luego publicar los datos dentro de un canal de Discord.

Los archivos que el paquete intenta leer son:

  • /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
  • /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Roaming/discord/Local\x20Storage/leveldb

Los primeros cuatro archivos son bases de datos de LevelDB específicas para navegadores como Chrome, Opera, Yandex Browser y Brave. Estos archivos por lo general almacenan información específica del historial de navegación de un usuario.

El último archivo era una base de datos similar de LevelDB pero para el cliente de Windows de Discord, que de forma parecida, almacena información sobre los canales a los que se ha unido un usuario y otro contenido específico del canal.

Cabe destacar que el paquete malicioso no robó otros datos confidenciales de las computadoras de los desarrolladores infectados, como las cookies de sesión o la base de datos del navegador que almacenaba las credenciales.

El paquete malicioso también pudo haber recopilado datos sobre las víctimas y evaluar a qué sitios estaban accediendo los desarrolladores infectados, antes de entregar un código más específico por medio de una actualización del paquete más adelante.

El paquete estuvo disponible en el sitio web por dos semanas, tiempo en el que se descargó al rededor de 300 veces.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/KdHY8EXqhAUCVp8kcum4QL
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Related News