The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NPM-пакете fallguys выявлена вредоносная активность

29.08.2020 09:05

Разработчики NPM предупредили об удалении из репозитория пакета fallguys из-за выявлении в нём вредоносной активности. Помимо вывода заставки в ACSII-графике с персонажем игры "Fall Guys: Ultimate Knockout", указанный модуль включал код, пытающийся передавать некоторые системные файлы через webhook к мессенджеру Discord. Модуль был опубликован в начале августа, но сумел набрать лишь 288 загрузок, прежде чем был блокирован.

Вредоносная активность была нацелена на компрометацию пользователей Windows. Вовне передавались следующие файлы, включающие БД с историей навигации в браузерах на основе движка Chromium и клиенте Discord (предполагается, что модуль был блокирован на стадии сбора данных о пользователях и более опасный вредоносный код мог бы быть доставлен в одном из обновлений):

  • /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
  • /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
  • /AppData/Roaming/discord/Local\x20Storage/leveldb


  1. Главная ссылка к новости (https://www.npmjs.com/advisori...)
  2. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
  3. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
  4. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
  5. OpenNews: Инцидент с захватом прав на NPM-модуль привёл к сбою в работе проектов, использующих NPM
  6. OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53621-npm
Ключевые слова: npm, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (54) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, timur.davletshin (ok), 09:12, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да сколько можно? Что ни новость, то закладки или дыры.
     
     
  • 2.6, Аноним (6), 09:59, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Selection bias.
     
  • 2.55, Вы забыли заполнить поле Name (?), 17:50, 23/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    npm == дыра
     

  • 1.2, Annms_tmp (?), 09:18, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    FF настолько непопулярен, что его даже хакеры игнорируют
     
     
  • 2.7, Аноним (7), 10:00, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Да, мамкины хакеры веб-макаки игнорируют, они только в хромого умеют.
     

  • 1.3, Lex (??), 09:34, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Brave и яндекс-браузер, значит, перехватывают, а Firefox - нет !?
     
     
  • 2.4, Аноним (4), 09:44, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Потому что хром. А для этого вашего Firefox ещё отдельный парсер писать.
     
     
  • 3.26, Нико (?), 15:04, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Security through obscurity. Прям как батько завещал
     
     
  • 4.53, Аноним (53), 16:02, 01/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Through uncatcheable Joe
     

  • 1.5, Аноним (5), 09:57, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как вообще можно защититься от этого на линуксе? Фаерволл? Но как написать такие правила?
     
     
  • 2.8, Аноним (7), 10:06, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как тебе фаервол поможет от воровства локальных файлов?

    И вообще, вы читали статью? Конкретно эту штуку писал мамкин хакер, и она только под виндой умеет тырить файлы. Где в норме работать из под админа и юзать одного юзера для всего.

    А под Линуксом, если не запускать всякий шлак, типа ноды под своим юзером (и уж, тем более, под рутом) - то у него тупо не хватит пермиссий добраться до файлов браузеров.

     
     
  • 3.18, Аноним (5), 10:57, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    сегодня под виндой, завтра под линуксом, вопрос не в этом был. А какие варианты защиты. На ум приходит только песочницы всякие.
     
     
  • 4.31, Annoynymous (ok), 18:45, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вы ж не разрабатываете под тем же юзером, что и рабочий аккаунт?
     
  • 3.19, Аноним (5), 10:59, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    по поводу другого юзера. Обычно права на хоум стоят 644, что дает возможность читать файлы без проблем.
     
     
  • 4.20, Аноним (20), 11:40, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А кто мешает хотя бы на базу/папку хрома (./config/chromium или ./config/google-chrome) повесить права 600? И всё, другой юзер обломится. Права на то и есть, чтобы их расставлять как нужно :)
     
     
  • 5.21, Lex (??), 12:18, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если доступ( на чтение ) к файлам организуется из под текущего юзера ?
     
  • 4.32, Annoynymous (ok), 18:47, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Но для этого надо читать файлы не из ~/.local/share/app… а выяснять логин пользователя и лезть туда к нему.

    Недостаточный барьер против профессионала, но достаточно крутой барьер против макак.

     
  • 3.43, iPony129412 (?), 10:29, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Конкретно эту штуку писал мамкин хакер, и она только под виндой умеет тырить файлы. Где в норме работать из под админа и юзать одного юзера для всего.

    Какие-то фантазии из серии:
    Если под Windows случится, то вон какая ОС дырявая. А если под линуксом, то пользователь виноват, ибо смотреть надо!

     
     
  • 4.50, Аноним (50), 15:10, 31/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ответ очевидно из второго процетированного предложения. В Linux/xBSD норма не работать из под рута и не юзать одного юзера для всего.
     
     
  • 5.51, iPony129412 (?), 16:42, 31/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ответ очевидно из второго процетированного предложения. В Linux/xBSD норма не работать из под рута и не юзать одного юзера для всего.

    Не вижу особой разницы, тоже самое что и в WIndows пользователь работает с учёткой с админскими правами.
    То есть их нет, а они при нужде спрашиваются.

     
  • 5.52, iPony129412 (?), 16:54, 31/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ответ очевидно из второго процетированного предложения. В Linux/xBSD норма не работать из под рута и не юзать одного юзера для всего.

    Вот это норма в линуксах

    groups 'whoami' | grep sudo

    Это дефолт.


     
  • 2.13, Аноним (13), 10:41, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Selinux/Apparmor
     
     
  • 3.33, Annoynymous (ok), 18:48, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот плюсую. Ключи ssh уже нельзя утащить у соседа из-за selinux.
     
  • 2.14, Корец (?), 10:41, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не использовать всю эту дичь.
     
     
  • 3.41, Аноним (41), 08:52, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кого? Линукс? Ужас какой такое предлагать!
     
  • 2.16, Нанобот (ok), 10:44, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Теоретически можно создать правило для selinux, чтобы к файлам хрома имел доступ только хром
     
     
  • 3.27, Da_predator (?), 15:20, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ты сам-то это пробовал? Во-первых надо писать не правило для хрома, а правило для того говна, которое использует npm.

    Во-вторых, ты состаришься и умрёшь раньше, чем напишешь работающий модуль для selinux.

     
     
  • 4.49, Owlet (?), 22:14, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще не проблема их писать, вечером почитать доки - и всё.
     
  • 2.22, Аноним (22), 12:23, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Запускать npm от отдельного юзера у которого есть права только на папку projects реального юзера и пустой хомяк.
     
  • 2.30, Аноним (30), 18:03, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да очень просто - не тащить неизвестный код из интернета.
     

  • 1.9, nebularia (ok), 10:15, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто-то должен форкнуть, вырезав вредоносный код XD
     
  • 1.10, Fracta1L (ok), 10:17, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Какие-то вендопетушнявые проблемы, зачем эта новость здесь вообще?
     
     
  • 2.11, kravich (ok), 10:26, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зато не на Си
     
     
  • 3.15, Корец (?), 10:42, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Фрактал одобряет.
     

  • 1.12, Нанобот (ok), 10:38, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пацан к успеху шёл
     
  • 1.17, Аноним (17), 10:46, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Полезли в браузеры на основе хромиума , всё спорят какой же лучше то ли пулимун то ли яндекс
     
     
  • 2.45, Аноним (-), 12:46, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучший браузер это Firefox.
     

  • 1.23, Anonim (??), 14:35, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно, в Readme этого вредоносного пакета, все еще находящегося на гитхабе, ни слова про апи. Оно просто в консоли должно нарисовать ASCII артом пресонажа этой игры.
     
  • 1.24, Аноним (24), 14:48, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Вредоносная активность была нацелена на компрометацию пользователей Windows.

    Так кто тут давеча кукарекал про "божественную дисяточку".

     
     
  • 2.28, КО (?), 16:57, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дайте угадаю, потому что ПРОЩЕ
    КО-КО-КО
     
  • 2.42, Аноним (41), 08:55, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так скрипт легко адаптируется для линукса, права чтения на хомяк достаточно, чтобы умыкнуть из хрома. Просто автор пакета линукс не видел)
     

  • 1.29, Аноним (30), 18:01, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нифига себе. Уязвимость в NPM пакете. Новость. NPM, блин, немодерируемая помойка, там в любом и каждом пакете по умолчанию уязвимость. Как PyPI, AUR, crates.io, rubygems.
     
     
  • 2.34, Аноним (34), 19:19, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С pypi кстати очень стрёмно, единственная гарантия хоть чего-то ты ссылка на этот pypi с гитахаба разрабов -- пойди найди кто там разраб сегодня. Некоторые пакеты тянут десятки зависимостей, которые ты видишь впервые. Это жесть.
     

  • 1.35, Онаним (?), 19:44, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да ладно, всё нормально.
    Тем, кто из этой помойки (npm) черпает плавающие фекалии полной ложкой - не привыкать. А остальным фиолетово.
     
     
  • 2.36, Аноним (34), 20:41, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты неправ. Просто одни сами разгребают эти фекалии и пишут своё удобное ПО выбирая алмазы среди них, а другие неспособны, и просто жрут, что дают (те самые фекалии) и только добавки просят.
     
     
  • 3.46, Онаним (?), 12:53, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "Удобное ПО", набранное из фекалий - не, спасибо, ешьте сами.
     
     
  • 4.47, Аноним (34), 18:03, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > "Удобное ПО", набранное из фекалий - не, спасибо, ешьте сами.

    Так выбор у тебя из камней и фекалий. Ты почему-то упорно выбираешь фекалии, ну, твоё дело.

     

  • 1.37, Неа (?), 20:43, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Неудивительно. Молодеж, научитесь уже сами программировать.
     
     
  • 2.38, Аноним (38), 22:38, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отличный совет
    Увеличим время написания ПО в 100 раз, почему нет
     
     
  • 3.48, Аноним (48), 19:29, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если будет надежно, пусть увеличивают. Потому старое и лучше, что раньше писали медленнее но основательнее.
     
     
  • 4.54, Аноним (54), 02:15, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Старое не лучше)
     

  • 1.39, Аноним (-), 04:03, 30/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Крутая игруха! Залип в Fall Guys уже на 520 часов...
     
  • 1.40, Я (??), 08:06, 30/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пиарщик этой игры поистине гений, придумал как втащить это на новостные сайты, респект однако.
     
     
  • 2.44, Борис (??), 12:43, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Меня из-за этого гения с работы поперли. Как подсел, так 2 недели не вылазил, с работы позвонили сказали можешь не приходить... Я и сейчас сижу гамаю, хотя деньги уже заканчиваются, за квартиру скоро платить. :( А ведь сначала даже не думал, что так затянет. Сначала казалось очередная мобильная др*чильня, "в такое уг я играть не буду", но эта игруха обладает каким-то магнетическим эффектом. Это посильнее доты будет...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру