Um malware que se passava por arquivo do Discord foi detectado por pesquisadores de segurança coletando informações de usuários do serviço de conversas e de navegadores da web como o Google Chrome e o Opera.
A falha foi encontrada pela empresa de segurança Sonatype, que detalhou a descoberta em um post em seu blog oficial. Trata-se de um pacote npm malicioso chamado ‘discord.dll’, de execução de bibliotecas de JavaScript.
O arquivo npm é um pacote de execução de JavaScript que tem como principal função a automatização de ações em sites, aplicativos e outros softwares digitais. Neste caso, o pacote se passava por um arquivo da plataforma Discord para acessar informações de usuários e desenvolvedores.
Em seu post a Sonatype explica que o discord.dll é uma evolução de outra biblioteca maliciosa que também estava em npm, chamada ‘fallguys’. “Esses pacotes intencionalmente maliciosos parecem estar fazendo coisas semelhantes ao pacote npm malicioso ‘fallguys’, descoberto em setembro (aquele que estava roubando arquivos de navegadores da web e de mensagens do Discord).”
Além de atingir o aplicativo do Discord, o malware também consegue atacar os navegadores Google Chrome, Yandex Browser, Opera e Brave.
Além de atacar os usuários se passando por outra plataforma, o discord.dll é mais complexo que seu antecessor. A Sonatype comenta que o pacote contém uma série de aplicações escondidas, que passam por baixo do radar de observadores. “O discord.dll é um componente do npm que conduz atividades maliciosas que são difíceis de detectar com antecedência. Ele também usa a dependência npm legítima do ‘Discord.js’ para distrair os pesquisadores de suas atividades ilegais.”
A base npm que abriga o arquivo já foi notificada de seu conteúdo malicioso e prometeu retirá-lo do ar dentro dos próximos dias. Os especialistas da Sonatype também relataram a presença de mais arquivos maliciosos na base npm que se encontra o discord.dll. Estes, a princípio, possuem arquivos executáveis (.exe), e podem ter outras finalidades maliciosas.
