На npm обнаружен зловред, ворующий данные из Яндекс.Браузер

На npm обнаружен зловред, ворующий данные из Яндекс.Браузер

На npm обнаружен зловред, ворующий данные из Яндекс.Браузер

Среди публикаций на портале npm найдено несколько пакетов с подозрительными функциями. Один из них при тестировании показал явно враждебное поведение: он пытался извлечь и слить на сторону локальные данные таких приложений, как Google Chrome, Brave, Opera, Яндекс.Браузер и мессенджер Discord, популярный у геймеров. Вредоносная dll-библиотека просуществовала в реестре npm пять месяцев; за это время ее скачали 100 раз.

Эксперты ИБ-компании Sonatype обнаружили потенциально опасные пакеты в результатах мониторинга открытого репозитория. Три из них схожи по назначению: они инициируют запуск конкретного исполняемого файла (bd.exe, dropper.exe или lib.exe). Что это за экзешники, и каким образом они могут появиться в системе, выяснить не удалось; в поддельных пакетах exe-файлы отсутствуют.

Все три фальшивки опубликовал один и тот же автор, как и четвертую — вредоносную библиотеку discord.dll. Анализ показал, что этот пакет состоит из множества JavaScript-файлов, содержимое которых сильно обфусцировано, а некоторые строки зашифрованы по base64.

После активации зловред ищет на компьютере браузеры на движке Chromium и клиент Discord, а найдя, извлекает данные из профилей пользователя и файлов, хранимых во внутренних базах LevelDB. Поддельная библиотека также собирает информацию о зараженной системе и вместе с остальной добычей пытается отправить ее в некий Discord-канал.

Примечательно, что в Git-репозитории автора зловредная фальшивка числится как JSTokenGrabber — похититель токенов доступа. По словам аналитиков, этот проект по задачам схож с fallguys — вредоносным пакетом, который они обнаружили в загрузках npm в конце августа.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Четыре бага в Windows Defender Firewall позволяли получить права SYSTEM

Microsoft выпустила обновления безопасности для Windows Defender Firewall Service. Компания закрыла сразу четыре уязвимости (CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 и CVE-2025-54915), которые позволяют злоумышленникам повысить привилегии на системе до уровня SYSTEM.

Все баги относятся к классу Type Confusion и получили одинаковую оценку: важные (Important), CVSS 6.7.

Эксплуатация требует локального доступа, но обходится без взаимодействия пользователя и позволяет обойти обычные механизмы защиты.

По данным Microsoft, каждая из уязвимостей потенциально затрагивает конфиденциальность, целостность и доступность системы. Пока случаев эксплуатации «в бою» не зафиксировано, но компания предупреждает, что риск серьёзный.

Что рекомендует Microsoft:

  • как можно скорее установить сентябрьские обновления безопасности;
  • ограничить вход в систему по локальным учётным записям только доверенными пользователями;
  • следить за логами и необычным поведением службы файрвола;
  • придерживаться принципа минимальных привилегий.

Хотя для атаки нужно попасть на сам компьютер, в корпоративных сетях такие баги могут стать удобным трамплином для захвата всей инфраструктуры. Получив права SYSTEM, злоумышленник способен отключить защиту, закрепиться в системе и развивать атаку дальше.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru