Dois pacotes NPM maliciosos que se passavam por ferramentas de desenvolvimento do WhatsApp foram descobertos implantando um código destrutivo de exclusão de dados que deleta recursivamente arquivos nos computadores dos desenvolvedores.
Atualmente disponíveis no registro, esses dois pacotes NPM visam desenvolvedores do WhatsApp com código destrutivo de exclusão de dados.
Os pacotes, descobertos por pesquisadores da Socket, se disfarçam como bibliotecas de socket do WhatsApp e foram baixados mais de 1.100 vezes desde sua publicação no último mês.
Apesar da Socket ter enviado pedidos de remoção e sinalizado o editor, nayflore, ambos permanecem disponíveis até o momento desta redação.
Os nomes dos dois pacotes maliciosos são naya-flore e nvlore-hsc, embora o mesmo editor tenha submetido mais ao NPM, como nouku-search, very-nay, naya-clone, node-smsk e @veryflore/disc.
Embora esses cinco pacotes adicionais atualmente não sejam maliciosos, é aconselhado extrema cautela, pois uma atualização enviada a qualquer momento pode injetar código perigoso.
Todos esses pacotes imitam bibliotecas legítimas de desenvolvedores do WhatsApp usadas para construir bots e ferramentas de automação em torno da API Business do WhatsApp.
A Socket observa que essas bibliotecas recentemente experimentaram um significativo aumento na demanda, à medida que mais empresas utilizam a Cloud API do WhatsApp para comunicação com clientes.
Tanto naya-flore quanto nvlore-hs contêm uma função chamada 'requestPairingCode', que deveria lidar com o pareamento do WhatsApp, mas que recupera um arquivo JSON em base64 de um endereço do GitHub.
O arquivo JSON contém uma lista de números de telefone da Indonésia que atuam como um kill switch, excluindo os proprietários desses números da funcionalidade maliciosa.
Para o restante (alvos válidos), o código executa o comando 'rm -rf *', que deleta todos os arquivos recursivamente no diretório atual, efetivamente eliminando o código do sistema do desenvolvedor.
A Socket também descobriu uma função de exfiltração de dados dormente ('generateCreeds'), que poderia exfiltrar o número de telefone da vítima, ID do dispositivo, status e chave codificada.
Essa função está presente, mas comentada nos dois pacotes, portanto, está desabilitada.
Em notícias paralelas, a Socket também descobriu 11 pacotes Go maliciosos que usam ofuscação de array de strings para executar silenciosamente payloads remotas em tempo de execução.
Esses pacotes geram um shell, buscam um script ou executável de segunda fase de domínios .icu ou .tech e o executam na memória, visando tanto servidores CI Linux quanto estações de trabalho Windows.
A maioria dos pacotes são typosquats, o que significa que eles apostam em erros de digitação e confusão dos desenvolvedores para enganá-los a baixá-los.
Os pacotes maliciosos e suas localizações estão listados abaixo:
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/TNSR_IDS
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
A maioria deles ainda está ativa, portanto, aconselha-se que desenvolvedores Go sejam muito cautelosos e verifiquem duas vezes seus blocos de construção antes de usá-los em seus ambientes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...