پروژه بد نیت NPM اطلاعات دیسکورد شما را میدزدد!

پروژه بد نیت NPM اطلاعات دیسکورد شما را میدزدد!

هکر ها با استفاده از پکیج های npm دیسکورد کاربران بی اطلاع را هک میکند.

برنامه ای مبهم و بدخواه ، توکن دیسکورد  و اطلاعات مرورگر کاربران بی اطلاع را با استفاده از دیسکورد میدزدد!
 
اگر با NPM آشنایی ندارید : NPM (یا Node package manager) یک مدیریت پکیج جاوااسکریپت هست که این امکان را به توسعه دهندگان میدهد تا ماژول های جاوااسکریپت را از یک رجیستری عمومی که شامل بیش از یک میلیون ماژول میشود دانلود یا یکپارچه کنند. NPM در دسترس عموم قرار دارد تا با استفاده از آن هرکسی بتواند ماژول های خود را در اختیار دیگر توسعه دهندگان قرار دهد. همین عمومی بودن آن باعث سؤاستفاده افرادی بد نیت شده تا با استفاده از آن اقدام به آپلود ماژول های مخرب که منجر به دزدی اطلاعات ، دانلود ، اجرای برنامه بدون اجازه کاربر یا هرگونه اقدام شوم دیگری کنند.
 
در تاریخ 25 آگوست امسال (4 شهریور) ، NPM اقدام به حذف یک پکیج مخرب به نام “Fallguys” کرد. این پکیج طوری طراحی شده بود که توکن های دیسکورد شما و اطلاعات مرورگر هایی مانند گوگل کروم ، brave ، اپرا و ... را از سیستم قربانی دزدی میکرد.
مدتی بعد پکیج مخرب دیگری به نام “discord.dll” کشف شد که احتمال میرود جانشین پکیج “Fallguys” باشد. البته گفته میشود که استفاده از اسم های معروف ترفند متداولی است برای گول زدن کاربران. پکیج های فیشینگ یا برند هایجکینگ ، با سؤاستفاده از اعتبار برند و خطای کاربر خودنمایی میکنند.
همانطور که از پکیج مخرب discord.dll گفته شد ، فایل package.json آن نشان میدهد که ماژول آن بر اساس پروژه دیگری به نام ‘JSTokenGrabber’ که قبلا در github وجود داشت.
 
discord hack
 
وقتی که در یک پروژه اجرا شود ، ماژول به توکن های دیسکورد و اطلاعات مرورگر از طریق دیتابیس LevelDB پوشه های زیر دستبرد میزند : 
  • %LocalAppData%\Google\Chrome\User Data\Default
    %LocalAppData%\BraveSoftware\Brave-Browser\User Data\Default
    %LocalAppData%\Yandex\YandexBrowser\User Data\Default
    %AppData%\Opera Software\Opera Stable
    %AppData%\discordptb
    %AppData%\discordcanary
    %AppData%\discor
از اسم پوشه های استفاده شده در این پکیج میتوانید اجزای مختلف استفاده شده در این دزدی اطلاعات مشاهده کنید:
 
discord hack
 
اطلاعات جمع آوری شده شامل : 
  • توکن گرفته شده از دیسکورد ، دیسکورد نسخه تست عمومی و دیسکورد قناری
    آی پی عمومی قربانی از طریق https://api.ipify.org/?format=json
    یوزرنیم کامپیوتر شخصی کاربر و یوزرنیم دیسکورد
    اطلاعات مروگر از دیتابیس LevelDB 
وقتی جمع آوری اطلاعات یک کاربر تمام شد ، اطلاعات از طریق یک وب هوک دیسکورد به یک کانال دیسکورد که در اختیار فرد هکر قرار داشت فرستاده میشد . در اضافه به پکیج discord.dll ، متخصصان پکیج های مشکوک دیگری از یک همان شخص به اسم های ‘discord.app’ ، ‘wsbd.js’ ، ‘ad-addon’ را کشف کرده اند.
این پکیج ها بعد از شروع کار بصورت خودکار فایل های قابل اجرایی به نام های ‘bd.exe’ ، ‘dropper.exe’ ، ‘lib.exe’ را اجرا میکنند.
برای مثال متخصصان اعلام کرده اند که discord.app ، dropper.exe را بعد از شروع اجرا میکند :
“require('child_process').exec('dropper.exe');”
 
متاسفانه این فایل های اجرایی ذکر شده هنوز پیدا نشده اند در نتیجه رفتار آن ها ناشناس مانده است.
پروژه ی discord.dll حدود 5 ماه بر روی NPM موجود بوده و در طی این مدت بیش از صد ها بار دانلود شده است.