악성 npm 패키지, 민감 Discord 정보 및 브라우저 파일 훔치려 시도해

Malicious npm package caught trying to steal sensitive Discord and browser files

 

Npm 보안 팀이 Npm 포털에서 감염시킨 사용자의 브라우저 및 Discord 애플리케이션의 민감 정보를 훔치도록 설계된 악성 JavaScript 라이브러리를 제거했습니다.

 

이 악성 패키지는 “fallguys”라는 JavaScript 라이브러리로 "Fall Guys: Ultimate Knockout" 게임 API에 대한 인터페이스를 제공한다고 광고했습니다.

 

개발자들이 해당 라이브러리를 다운로드 후 프로젝트에 통합하여 코드를 실행하면 악성 패키지 또한 실행됩니다.

 

Npm 보안 팀에 따르면 이 코드는 로컬 파일 5개에 접근하여 내용을 읽은 후 Discord 채널에 데이터를 게시하려 시도합니다. (Discord 웹 훅)

 

이 패키지가 읽으려 시도하는 파일 5개는 아래와 같습니다.

- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb

- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb

- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb

- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb

- /AppData/Roaming/discord/Local\x20Storage/leveldb

 

첫 번째 파일 4개는 Chrome, Opera, Yandex Browser, Brave 등 브라우저의 특정 LevelDB 데이터베이스였습니다. 이 파일은 보통 사용자의 브라우징 히스토리를 저장하는데 사용됩니다.

 

마지막 파일은 사용자가 가입한 채널 및 기타 채널 관련 내용을 저장하는 Discord 윈도우 클라이언트용 LevelDB 데이터베이스였습니다.

 

주목할 점은 이 악성 패키지가 감염된 개발자의 컴퓨터에서 세션 쿠키나 자격 증명을 저장하는 브라우저 데이터베이스 등 다른 민감 데이터를 훔치려 시도하지 않았다는 것입니다.

 

이 악성 패키지는 업데이트를 통해 패키지에 타깃 코드를 전달하기 전 정찰, 피해자 데이터 수집, 감염된 개발자가 접근하는 사이트에 대한 평가 등의 행위를 시도한 것으로 보입니다.

 

Npm 보안 팀은 개발자들에게 악성 패키지를 프로젝트에서 제거하도록 조언했습니다.

 

이 악성 패키지는 약 2주 동안 사이트에 게시되어 있었으며 약 300회 다운로드되었습니다.

 

 

 

 

출처:

https://www.zdnet.com/article/malicious-npm-package-caught-trying-to-steal-sensitive-discord-and-browser-files/