Peneliti keamanan di Sonatype kali ini telah menemukan paket npm (library JavaScript) berbahaya yang dirancang untuk mencuri file sensitif dari browser pengguna dan aplikasi Discord.
Bernama discord.dll, library JavaScript berbahaya tersebut pada saat artikel ini diterbitkan masih tersedia melalui npm, portal web, utilitas baris perintah, dan manajer paket untuk pemrogram JavaScript.
Sonatype mengatakan bahwa setelah diinstal, discord.dll akan menjalankan kode berbahaya untuk mencari aplikasi tertentu di komputer pengembang dan kemudian mengambil database LevelDB internal mereka.
Aplikasi yang ditargetkan termasuk browser seperti Google Chrome, Brave, Opera, dan Yandex Browser, juga aplikasi perpesanan instan Discord yang saat ini sedang populer.
File yang diambil malware adalah database LevelDB, yang digunakan aplikasi yang disebutkan di atas untuk menyimpan informasi seperti riwayat penelusuran dan berbagai token akses.
Discord.dll akan membaca file dan mencoba memposting kontennya di saluran Discord (sebagai webhook Discord).
Baca Juga: “Aplikasi Discord Diubah Jadi Pencuri Password Oleh Varian Malware Baru“
Sonatype mengatakan bahwa setelah peninjauan, ditemukan bahwa kode berbahaya itu adalah versi perbaikan dari library berbahaya yang mereka temukan pada bulan Agustus 2020. Dijuluki fallguys, library ini juga mengumpulkan informasi yang sama, meskipun dengan cara yang tidak terlalu rumit.
Menurut Sonatype, discord.dll sudah diterbitkan lebih dari lima bulan yang lalu dan telah diunduh lebih dari 100 kali. Sebaliknya, meskipun hanya tersedia di portal npm selama dua minggu, paket fallguys telah diunduh lebih dari 300 kali.
Alasan keberhasilan paket pertama dapat dikaitkan dengan fakta bahwa fallguys berisi file README yang mengiklankan library sebagai antarmuka ke API game “Fall Guys: Ultimate Knockout”. Di sisi lain, paket discord.dll berisi README kosong, yang menunjukkan bahwa proyek tersebut ditinggalkan atau tidak pernah “secara resmi” diluncurkan oleh pembuatnya.
Sonatype sudah memberi tahu tim keamanan npm, dan paket kemungkinan besar paket berbahaya tersebut akan dihapus dalam beberapa hari mendatang.
