Malafide npm-package probeerde browser- en Discord-gegevens te stelen

Uit een advisory van het npm Security Team blijkt er een malafide npm-package te zijn ontdekt die Discord- en browsergegevens probeerde te stelen van gebruikers. Naar eigen zeggen is npm, de standaard package manager voor JavaScript-omgeving Node.js, het grootste softwarearchief ter wereld. Het biedt via het npm registry een groot archief met besloten, openbare en commerciële packages.

Fall Guys

Het npm Security Team kwam op 25 augustus met de waarschuwing dat een npm-package die fallguys heet, kwaadaardige code bevat. De software doet zich voor als een library waarmee een gebruiker data van het spel Fall Guys: Ultimate Knockout kan verzamelen. Dit is een populair online multiplayer party game. Gebruikers zouden via de npm-package, die door een onbekende ontwikkelaar is ontwikkeld, allerlei data van het spel kunnen verzamelen zoals patronen, outfits en kleuren.
Enkel zocht de npm-package in werkelijkheid naar lokale databestanden van Google Chrome, Brave, Opera, Yandex en chatplatform Discord. Deze databestanden bevatten onder andere informatie van de webapplicaties die door de gebruiker wordt gebruikt. Deze wordt door de browser opgeslagen. Vervolgens wordt de data via een Discord-kanaal naar de ontwikkelaar van de kwaadaardige package gestuurd.

In totaal is de fallguys-package driehonderd keer gedownload voordat deze werd verwijderd, blijkt uit cijfers van de npm-repository. Er wordt de gebruikers die de software hebben gedownload aangeraden om deze te verwijderen en gecompromitteerde inloggegevens te wijzigen.

Bron: Security.nl