2 de abril de 2025

Pacote npm malicioso ‘fallguys’ removido do repositório oficial

31 de agosto de 2020

A equipe de segurança do npm removeu uma biblioteca JavaScript maliciosa do repositório do npm que foi projetada para roubar arquivos confidenciais das vítimas.

A equipe de segurança do npm removeu a biblioteca JavaScript “ fallguys ” do portal npm porque ela continha um código malicioso usado para roubar arquivos confidenciais do navegador e do aplicativo Discord de um usuário infectado.

A biblioteca fallguys afirmava fornecer uma interface para a API do jogo “ Fall Guys: Ultimate Knockout ”. O pacote ficou disponível no repositório por duas semanas e foi baixado quase 300 vezes.

“Fallguys continha código malicioso que tentava ler arquivos confidenciais locais e exfiltrar informações por meio de um webhook Discord.” lê do npm consultivo .

Todo projeto que integra a biblioteca maliciosa, na execução fará com que o código malicioso seja executado.

Os especialistas notaram que o pacote malicioso foi projetado para roubar apenas informações confidenciais específicas dos sistemas dos desenvolvedores infectados.

Este código malicioso tentaria acessar o conteúdo dos cinco arquivos locais a seguir e, em seguida, postaria os dados dentro de um canal Discord:

  • / AppData / Local / Google / Chrome / User \ x20Data / Default / Local \ x20Storage / leveldb
  • / AppData / Roaming / Opera \ x20Software / Opera \ x20Stable / Local \ x20Storage / leveldb
  • / AppData / Local / Yandex / YandexBrowser / User \ x20Data / Default / Local \ x20Storage / leveldb
  • / AppData / Local / BraveSoftware / Brave-Browser / User \ x20Data / Default / Local \ x20Storage / leveldb
  • / AppData / Roaming / discord / Local \ x20Storage / leveldb

Os quatro primeiros arquivos são bancos de dados LevelDB usados ​​em navegadores comuns como Chrome, Opera, Yandex Browser e Brave. Os arquivos contêm os dados do histórico de navegação do usuário.

O arquivo / AppData / Roaming / discord / Local \ x20Storage / leveldb é uma espécie de banco de dados LevelDB para o cliente Discord Windows que é usado para armazenar informações sobre os canais em que um usuário se juntou.

Especialistas especulam que o pacote malicioso foi usado para coletar informações sobre os desenvolvedores que o usam, como os sites que estão acessando.

“Remova o pacote do seu sistema e certifique-se de que todas as credenciais comprometidas sejam trocadas.” conclui o comunicado.

Fonte: https://securityaffairs.co/wordpress/107691/malware/npm-package-fallguys-removed.html

Tags: , ,

Matérias Relacionadas

Pesquisadores descobrem a família de malware Shelby que abusa do GitHub para comando e controle

1 de abril de 2025

Hackers abusam de plugins MU do WordPress para esconder código malicioso

1 de abril de 2025

Vulnerabilidade crítica no plugin ChatyPro expõe milhares de sites WordPress

6 de março de 2025

Veja mais..

Pesquisadores descobrem a família de malware Shelby que abusa do GitHub para comando e controle

1 de abril de 2025

Hackers abusam de plugins MU do WordPress para esconder código malicioso

1 de abril de 2025

Google lança duas novas ferramentas de IA para detectar golpes conversacionais em dispositivos Android

6 de março de 2025

APT28 aprimora técnicas de ofuscação com trojans HTA avançados

6 de março de 2025

Vulnerabilidade crítica no plugin ChatyPro expõe milhares de sites WordPress

6 de março de 2025