为精准用户画像，恶意 npm 软件包窃取浏览器文件

图片地址：https://img.ithome.com/newsuploadfiles/2020/8/20200829091328_2118.jpg

据科技媒体 ZDNet 的报道，npm 安全团队近日发现了一个恶意的 JavaScript 库，该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。这个名为 "fallguys" 的 JavaScript 库声称提供了 "Fall Guys: Ultimate Knockout" 游戏的 API 接口。但实际上它附带恶意程序，用户在运行后即被感染。根据 npm 安全团队的说法，此代码将尝试访问五个本地文件，读取其内容，然后利用 Discord Webhook 将数据发布到 Discord 通道内。Discord 的内置 Webhooks 是一种简便的方法，可以将消息和数据更新自动发送到服务器中的文本通道。程序包尝试读取的五个文件分别是：/AppData/Local/Google/Chrome/User\x20Data/D