Эксперты по кибербезопасности из компании Sonatype обнаружили на официальном сайте менеджера пакетов npm несколько подозрительных JavaScript-файлов и после тестирования выявили, что они определенно содержат вредоносное ПО.
В первую очередь речь идет о фальшивой библиотеке discord.dll, которая использовалась злоумышленниками для интеграции скрытого вирусного кода. После установки этого пакета вредитель пытался извлечь пользовательские данные из некоторых интернет-приложений, установленных на компьютере. В частности, от его действий пострадали веб-браузеры, разработанные на движке Chromium (Google Chrome, Brave, Opera и Яндекс.Браузер), и популярный геймерский мессенджер Discord. Эксперты уточнили, что зловред "охотился" за историей посещения интернет-сайтов, различными токенами доступа, а также информацией о системе.
Вирусная dll-библиотека просуществовала на сайте npm более пяти месяцев и за это время была скачана пользователями сто раз. В данный момент она уже удалена службой безопасности npm. Однако ее автор успел опубликовать еще несколько пакетов с другими вирусными кодами, которые также были обнаружены специалистами Sonatype. Эксперты выяснили, что содержащиеся в них исполняемые файлы bd.exe, dropper.exe или lib.exe оказались схожи по своему поведению с вирусным discord.dll.
Установлено, что все указанные вредоносные пакеты опубликовал один и тот же неизвестный автор. Вся собранная информация отправлялась на приватный канал в мессенджере Dicscord. В связи с этим специалисты предупреждают пользователей о потенциальной опасности еще нескольких пакетов discord.app, ac-addon и wsbd.js, которые до конца еще не изучены и по-прежнему доступны для скачивания на сайте npm.
