idNSA.id - Peneliti Sonatype Ax Sharma menemukan paket npm, yang disebut discord.dll , yang berisi kode berbahaya yang dirancang untuk mencuri file sensitif dari browser pengguna dan aplikasi Discord.
Pustaka JavaScript berbahaya telah diunggah ke repositori paket npm dan telah dihapus. Repo digunakan oleh pengembang untuk menyertakan perpustakaan (paket npm) di dalam proyek mereka.
Proyek discord.dll telah tersedia di portal NPM selama lima bulan dan telah diunduh oleh pengembang seratus kali.
Peneliti Sonatype melaporkan bahwa setelah diinstal, discord.dll yang berbahaya akan menjalankan kode berbahaya untuk mencari aplikasi tertentu di komputer pengembang dan kemudian mengambil database LevelDB internal mereka.
Basis data LevelDB digunakan oleh banyak aplikasi untuk menyimpan informasi seperti riwayat penelusuran dan token akses.
Informasi yang dikumpulkan oleh kode berbahaya meliputi:
- Token pengguna dari Discord, Discord Public Test Build (PTB), dan Discord Canary
- Alamat IP publik korban melalui https://api.ipify.org/?format=json
- Nama pengguna PC dan nama pengguna Discord
- Informasi browser dari database LevelDB
“Discord.dll adalah komponen npm yang melakukan aktivitas jahat yang sulit dilihat sebelumnya. Ia juga menggunakan ketergantungan Discord.js npm yang sah untuk berpotensi mengalihkan peneliti dari aktivitasnya yang jahat. " membaca analisis yang diterbitkan oleh Sonatype.
“Apa yang membuat paket sulit untuk dianalisis adalah paket ini terdiri dari beberapa file, yang hampir semuanya sangat dikaburkan dan memiliki string berenkode base64 di mana-mana.”
Pakar menunjukkan bahwa discord.dll adalah penerus paket fallguys yang ditemukan pada bulan Agustus. Pustaka JavaScript " fallguys " berisi kode berbahaya yang digunakan untuk mencuri file sensitif dari browser pengguna dan aplikasi Discord yang terinfeksi.
Kode berbahaya ini dirancang untuk mencuri data sensitif dari browser utama, termasuk Google Chrome, Brave, Opera, dan Yandex Browser. Pakar juga memperhatikan bahwa kode berbahaya juga dapat mencuri data sensitif dari aplikasi perpesanan instan Discord, yang sangat populer di komunitas game online.
"Menyederhanakan dan memformat ulang" app.js "menampilkan kode NodeJS yang sedikit lebih mudah dilihat. Kode tersebut memiliki referensi ke Discord, webhook, menyetel dan mendapatkan cookie," mengirim "data, token Discord, dan file browser web." melanjutkan analisis.
Discord.dll dapat membaca file dan memposting kontennya di saluran Discord dalam bentuk webhook Discord .
Menurut para peneliti, penulis paket discord.dll juga telah mengunggah sepuluh paket lain di repositori npm, tiga di antaranya berisi perilaku jahat yang akan mengunduh dan menjalankan tiga file EXE discord.app , ac-addon , dan wsbd.js .
Kehadiran paket npm berbahaya di repositori resmi menjadi sering terjadi.
Minggu lalu, tim keamanan npm telah menghapus pustaka JavaScript berbahaya bernama " twilio-npm " dari repositori karena berisi kode untuk membuat pintu belakang pada komputer pemrogram. Npm adalah repositori paket terbesar untuk semua bahasa pemrograman.
Pada bulan Oktober, staf NPM menghapus empat paket JavaScript dari portal npm karena berisi kode berbahaya. Npm adalah tempat penyimpanan paket terbesar untuk semua bahasa pemrograman.
Keempat paket tersebut, yang memiliki total seribu unduhan, adalah:
Ini menandai penghapusan besar keempat dari paket berbahaya selama tiga bulan terakhir.
Pada akhir Agustus, staf menghapus pustaka npm (JavaScript) berbahaya yang dirancang untuk mencuri file sensitif dari browser pengguna yang terinfeksi dan aplikasi Discord .
Pada bulan September, tim keamanan menghapus empat pustaka npm (JavaScript) untuk mengumpulkan detail pengguna dan mengunggah data yang dicuri ke halaman GitHub publik .
Pada bulan Oktober, tim npm menghapus tiga paket yang juga kedapatan membuka cangkang balik (backdoors) di komputer pengembang . Ketiga paket tersebut juga ditemukan oleh Sonatype. Tidak seperti yang ditemukan pada akhir pekan, ketiganya juga bekerja pada sistem Windows, dan bukan hanya sistem mirip UNIX.
Sumber artikel: SecurityAffairs, foto: bleepingcomputer
