Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향악성 NPM 프로젝트, Discord 계정과 브라우저 정보를 훔쳐
작성일 2020-11-11 조회 66

Discord

 

난독화되고 악의적인 NPM 프로젝트는 Discord 사용자 토큰 정보와 브라우저 정보를 훔친다. 

 

NPM은 개발자가 100만 개가 이상의 패키지를 포함하는 공용 레지스트리에서 다른 JS 모듈을 다운로드하고 통합할 수 있도록 하는 JavaScript 패키지 관리자다.

 

NPM은 누구나 사용할 수 있도록 모듈을 제출할 수 있는 개방형 시스템이다. 

 

이러한 개방형 시스템으로 인해 악의적인 행위자가 데이터를 탈취히는 악성 모듈을 업로드하고 프로그램을 다운로드 및 실행하거나 다른 프로젝트에서 사용할 때 악의적인 동작을 수행하는 것이 일반화되고 있다.

 

 

악성 NPM은 브라우저 정보, Discord 토큰을 훔친다.

 

2020년 8월 25일 NPM은 Google Chrome, Brave Browser, Opera 및 Yandex Browser에서 Discord 토큰과 브라우저 정보를 훔치도록 설계된 "fallguys"라는 악성 패키지를 제거했다.

 

그리고 11월 9일에 오픈소스 보안 회사인 Sonatype은 fallguys 모듈의 후속으로 추정되는 'discord.dll' 토큰을 발견했다.

 

Sonatype 연구원인 Ax Sharma는 악성 NPM 프로젝트가 합법적인 프로젝트와 유사한 이름을 사용하여 개발자를 속이는 것이 일반적이라고 말했다.

 

Sharma는 "브랜드재킹 패키지는 기존 브랜드 가치를 활용하고 사용자가 저지른 무고한 실수를 이용한다"고 설명했다.

 

discord.dll 이름을 사용하지만, package.json 파일은 이전에 GitHub에 있던 'JSTokenGrabber'이라는 다른 프로젝트를 기반으로 하고 있음을 나타낸다.

 

Discord.dll package.json file

[그림1. Discord.dll의 package.json 파일]

 

 

프로젝트에서 사용될 때, 모듈은 아래의 파일 경로에 있는 LevelDB 데이터베이스에서 Discord 사용자 토큰과 브라우저 정보를 훔치려고 시도한다.

 

 

이 패키지에 사용된 파일 이름에서 정보 도용을 수행하는데 사용되는 여러 구성 요소를 볼 수 있다.

 

Discord.dll 파일 트리

[그림2. Discord.dll 파일 트리]

 

 

수집되는 정보는 다음과 같다.

 

 

사용자 정보 수집이 완료되면 Discord Webhook을 통해 공격자가 제어하는 ​​Discord 채널로 전송된다.

 

Sonatype은 discord.dll 외에도 동일 작성자로부터 discord.app', 'wsbd.js'및 'ac-addon'라는 3개의 의심스러운 패키지를 발견했다.

 

해당 패키지를 실행하면 'bd.exe', 'dropper.exe' 및 'lib.exe'라는 이름의 실행 파일을 자동으로 시작한다.

 

예를 들어, Sonatype은 discord.app이 시작될 때 dropper.exe 파일이 실행될거라 말했다.

 

 

현재까지 해당 프로그램들은 발견되지 않아 어떤 행위를 하는지 알 수 없지만, discord.dll 프로젝트는 NPM에서 5개월동안 사용 가능했으며 100번 다운로드 되었다.
 
 
 
출처
https://www.bleepingcomputer.com/news/security/malicious-npm-project-steals-discord-accounts-browser-info/
https://www.zdnet.com/article/npm-package-caught-stealing-sensitive-discord-and-browser-files/
첨부파일 첨부파일이 없습니다.
태그 Discord