‘fallguys’ Zararlı npm Paketi Kaldırıldı

‘fallguys’ Zararlı npm Paketi Kaldırıldı

npm güvenlik ekibi, kurbanlardan hassas dosyaları çalmak için tasarlanmış olan kötü amaçlı bir JavaScript kitaplığını npm deposundan kaldırdı.

npm güvenlik ekibi, “fallguys” JavaScript kütüphanesini npm portalından kaldırdı, çünkü virüslü bir kullanıcının tarayıcısından ve Discord uygulamasından hassas dosyaları çalmak için kullanılan kötü amaçlı bir kod içeriyor.

Fallguys Kütüphanesi, “Fall Guys: Ultimate Knockout” oyun API’sine bir arayüz sağladığını iddia etti. Paket yaklaşık iki hafta boyunca npm deposundaydı ve yaklaşık 300 kez indirildi.

npm güvenli ekibi “fallguys, Discord web arayüzü aracılığıyla sistemdeki hassas dosyaları okumaya ve bilgileri filtrelemeye çalışan kötü amaçlı kod içeriyordu.” şeklinde bir açıklama yaparak Windows’ta erişilebilir dosyaları göstermiştir.

Kötü amaçlı kütüphaneyi entegre eden her proje, çalıştırıldıktan sonra kötü amaçlı kodu yürütecektir.

Uzmanlar, kötü amaçlı paketin, virüslü geliştiricilerin sistemlerinden yalnızca belirli hassas bilgileri çalmak için tasarlandığını fark ettiler.

Bu kötü amaçlı kod, aşağıdaki beş yerel dosyanın içeriğine erişmeye ve ardından verileri bir Discord kanalına göndermeye çalışacaktır:

  • /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
  • /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Roaming/discord/Local\x20Storage/leveldb

İlk dört dosya, Chrome, Opera, Yandex Browser ve Brave gibi yaygın tarayıcılarda kullanılan LevelDB veritabanlarıdır. Dosyalar, bir kullanıcının tarama geçmişi verilerini içerir.

/ AppData / Roaming / discord / Local \ x20Storage / leveldb dosyası, bir kullanıcının katıldığı kanallardaki bilgileri depolamak için kullanılan Discord Windows istemcisi için bir tür LevelDB veritabanıdır.

Uzmanlar, kötü amaçlı paketin, eriştikleri siteler gibi onu kullanan geliştiriciler hakkında bilgi toplamak için kullanıldığını düşünüyor.

Güvenlik ekibi, “Paketi sisteminizden kaldırın ve tehlikeye atılan kimlik bilgilerinin döndürüldüğünden emin olun.” şeklinde duyuruyu bitirdiler.

npm duyurusu : https://www.npmjs.com/advisories/1552

Related Posts

Leave a Reply