พบแพ็กเกจ NPM ที่เป็นอันตรายถูกใช้เพื่อขโมยโทเค็นผู้ใช้ Discord และข้อมูลเบราว์เซอร์จากผู้ใช้

Discord

ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมา ทีมผู้ดูแลโปรเจ็กต์ NPM ได้ทำการลบแพ็คเกจที่เป็นอันตรายและมีชื่อว่า "fallguys" โดยแพ็คเกจดังกล่าวเป็นแพ็คเกจที่ออกแบบมาเพื่อขโมยโทเค็น Discord และข้อมูลเบราว์เซอร์จาก Google Chrome, Brave Browser, Opera และ Yandex Browser

รายละเอียดการค้นพบและรายงานโดยบริษัทรักษาความปลอดภัยทางด้านโอเพ่นซอร์ส Sonatype ได้ทำการตรวจพบแพ็คเกจ NPM ที่เป็นอันตราย โดยแพ็คเกจที่ทำการตรวจพบนั้นมีชื่อเรียกว่า 'discord.dll' จากการตวจสอบพบว่าภายในแพ็คเกจจะมีไฟล์โมดูล package.json ที่บ่งชี้ว่าโมดูลนั้นมีการเชื่อมต่อกับโมดูลที่เรียกว่า 'JSTokenGrabber' ซึ่งถูกพบก่อนหน้านี้บน GitHub และเมื่อทำการติดตั้งใช้ภายในโปรเจ็กต์โมดูลจะพยายามขโมยดังนี้

  • ข้อมูลโทเค็นผู้ใช้จาก Discord, Discord Public Test Build (PTB) และ Discord Canary
  • ข้อมูล Public IP address ของผู้ใช้ส่งผ่าน https://api.ipify.org/?format=json
  • PC username และ Discord username
  • ข้อมูลเบราว์เซอร์จากฐานข้อมูล LevelDB

อย่างไรก็ดีเมื่อรวบรวมข้อมูลของผู้ใช้เสร็จแล้วข้อมูลนั้นจะถูกส่งผ่านเว็บฮุค Discord ไปยังช่องทาง Discord ภายใต้การควบคุมของผู้โจมตี นอกจากแพ็คเกจ discord.dll แล้ว Sonatype ยังค้นพบแพ็คเกจที่น่าสงสัยอื่นๆ อีกสามแพ็คเกจจากผู้เขียนคนเดียวกันคือ 'discord.app', 'wsbd.js' และ 'ac-addon' ทั้งนี้ discord.dll ถูกปล่อยให้ดาวน์โหลดและพร้อมใช้งานบน NPM เป็นเวลาห้าเดือนและมีการดาวน์โหลดหนึ่งร้อยครั้ง

ผู้ใช้ควรทำการตรวจสอบไฟล์แพ็คเกจ NPM ดังกล่าวถ้าหากเคยทำการดาวน์โหลดและติดตั้งแพ็คเกจดังกล่าวควรทำการลบออกเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer.com