Edición ZDNet informa que el equipo de seguridad del popular administrador de paquetes JavaScript npm (Node Package Manager) ha detectado un paquete malicioso fallguys, aparentemente diseñado para funcionar con la API del juego Fall Guys: Ultimate Knockout.

Cuando los desarrolladores descargaron esta biblioteca y la integraron en sus proyectos, y luego ejecutaron su código, se lanzó el paquete malicioso junto con él. El malware intentó acceder a cinco archivos locales, leer su contenido y luego “fusionar” estos datos en un canal especial de Discord. Los atacantes estaban interesados ​​en:

  • / AppData / Local / Google / Chrome / User \ x20Data / Default / Local \ x20Storage / leveldb;
  • / AppData / Roaming / Opera \ x20Software / Opera \ x20Stable / Local \ x20Storage / leveldb;
  • / AppData / Local / Yandex / YandexBrowser / User \ x20Data / Default / Local \ x20Storage / leveldb;
  • / AppData / Local / BraveSoftware / Brave-Browser / User \ x20Data / Default / Local \ x20Storage / leveldb;
  • / AppData / Roaming / discord / Local \ x20Storage / leveldb.

Los primeros cuatro archivos son bases de datos de LevelDB específicas para navegadores como Chrome, Opera, Yandex Browser y Brave. Normalmente, estos archivos almacenan información relacionada con el historial de navegación del usuario. El último archivo también es una base de datos de LevelDB, pero vinculado al cliente de Windows Discord. Contiene información sobre los canales de los que el usuario es miembro, así como otros datos relacionados con los canales.

Al mismo tiempo, el paquete malicioso no robó ningún otro dato confidencial, por ejemplo, cookies de sesión o la base de datos del navegador donde se almacenaban las credenciales. Los expertos creen que los autores del malware solo estaban realizando un reconocimiento, recopilando datos sobre las víctimas y tratando de evaluar a qué sitios acceden con mayor frecuencia. Probablemente, en el futuro, los piratas informáticos planearon actualizar el paquete y extender su funcionalidad maliciosa.

El paquete fallguys malicioso ha estado disponible para su descarga durante dos semanas, y durante ese tiempo se ha descargado unas 300 veces. El equipo de seguridad de npm ahora recomienda que los desarrolladores eliminar el paquete lo más rápido posible.