今天，Sonatype的安全研究人员发现了一个npm包（JavaScript库），其中包含恶意代码，旨在从用户的浏览器和不一致的应用程序中窃取敏感文件。

名为不和谐.dll，恶意JavaScript库仍然可以通过npm，一个门户网站，命令行实用程序，开发人员使用npm来加载并更新JavaScript项目中的库（npm包），这些库可能是网站、桌面应用程序，或服务器应用程序。

Sonatype说一旦安装，不和谐.dll将运行恶意代码，在开发人员的计算机中搜索特定应用程序，然后检索其内部LevelDB数据库。

目标应用程序包括谷歌Chrome浏览器、Brave浏览器、Opera浏览器和Yandex浏览器，不过，现在流行于大多数在线游戏玩家的即时消息应用程序也是如此。

恶意软件检索的文件是LevelDB数据库，上述应用程序使用这些数据库存储浏览历史记录和各种访问令牌等信息。

不和谐.dll会读取文件并尝试在不和谐频道（a不和谐的webhook）。

Sonatype在经过审查后说，它发现恶意代码是8月份看到的恶意库的改进版。名为fallguys，这个库也在收集相同的信息，Sonatype是一家将公共包存储库作为其开发人员安全操作（DevSecOps）服务的一部分进行监控的公司说不和谐.dll它发表于五个多月前，已经被下载了100多次。

相比之下，尽管在npm门户网站上只有两个周，fallguys包被下载了300多次。

第一个包成功的原因可能与fallguys包含一个自述文件有关，该文件将库作为“Fall Guys:Ultimate Knockout“游戏API。另一方面不和谐.dll包中包含一个空的自述文件，表明该项目已被放弃或从未由其创建者“正式”启动。

检测到其他可疑的npm包

不和谐.dll这个包仍然可以在npm门户上找到，但是Sonatype说它已经通知了npm安全团队，并且此外，研究人员还说，该软件包的作者不和谐.dllpackage还在npm网站上上传了另外10个包，其中3个包含恶意行为，下载并运行三个神秘的EXE文件，JavaScript（npm）包的非标准行为。

由于无法检索EXE文件，研究人员无法完全确认这三个库的性质，命名为不和谐应用程序（88次下载），ac加载项（46次下载），以及wsbd.js公司（38次下载）。

Zoom解决了FTC对用户在安全功能方面误导用户的指控，全球第二大笔记本电脑制造商，受到勒索软件的打击
2023-03-22 10:04:22