标签: npm

为精准用户画像,恶意 npm 软件包窃取浏览器文件

据科技媒体 ZDNet 的报道,npm 安全团队近日发现了一个恶意的 JavaScript 库,该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。 这个名为 “fallguys” 的 JavaScript 库声称提供了 “Fall Guys: Ultimate Knockout” 游戏的 API 接口。但实际上它附带恶意程序,用户在运行后即被感染。 根据 npm 安全团队的说法,此代码将尝试访问五个本地文件,读取其内容,然后利用 Discord Webhook 将数据发布到 Discord 通道内。Discord 的内置 Webhooks 是一种简便的方法,可以将消息和数据更新自动发送到服务器中的文本通道。 程序包尝试读取的五个文件分别是: /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/discord/Local\x20Storage/leveldb 前四个文件是特定于 Chrome、Opera、Yandex Browser 和 Brave 等浏览器的 LevelDB 数据库。这些文件通常存储特定于用户浏览历史记录的信息。 最后一个文件也是类似的 LevelDB 数据库,但用于 Discord Windows 客户端,该数据库类似地存储有关用户已加入的频道以及其他特定于频道的内容的信息。 令人寻味的是,该软件包并未收集存储凭据一类的更敏感信息,而似乎是在观察受感染者,评估他们经常访问的站点,再根据此来更新软件包,提供更有针对性的代码。 该软件包上架了两个星期,被下载近 300 次。目前,npm 安全团队已将此软件包删除。 相关链接 npm 的详细介绍:点击查看 npm 的下载地址:点击下载     (稿件与封面来源:开源中国)

微软发现恶意 npm 软件包,可从 UNIX 系统窃取数据

Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。 该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。 根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。 它收集的数据类型包括: 环境变量 运行过程 / etc / hosts 优名 npmrc文件 其中,窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包,并轮换使用任何 compromised 的凭据。 事实上,这是恶意软件包第六次被放入 npm 存储库索引,此前的五次分别为: 2019 年 6月 -黑客将电子本地通知库进行后门操作,以插入到达 Agama 加密货币钱包的恶意代码。 2018 年11月 -一名黑客借壳了the event-stream npm 程序包,以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部,并窃取加密货币。 2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。 2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。 2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库,这些库被配置为从使用它们的项目中窃取环境细节。     (稿源:开源中国,封面源自网络。)