“rm -rf в подарок”: GitHub-управляемый kill switch в модулях WhatsApp
NewsMakerДва трояна в NPM притворяются библиотеками для WhatsApp. Почему их до сих пор не удалили?
В экосистеме NPM были обнаружены два вредоносных пакета, замаскированных под библиотеки для разработки ботов и автоматизированных сервисов на базе WhatsApp Business API. Эти модули, выявленные специалистами компании Socket, имитировали популярные WhatsApp-библиотеки и с момента публикации в прошлом месяце были загружены более 1,1 тысячи раз. Несмотря на поданные запросы на удаление и жалобы на автора с ником nayflore, оба пакета всё ещё доступны в каталоге NPM.
Злонамеренные модули получили названия naya-flore и nvlore-hsc. У этого же автора присутствуют ещё пять пакетов — nouku-search, very-nay, naya-clone, node-smsk и @veryflore/disc. Хотя они пока не содержат вредоносного кода, эксперты предупреждают, что в любой момент через обновление в них может быть внедрена опасная функциональность.
Все эти проекты копируют стиль и названия легитимных библиотек, используемых при создании ботов и автоматизированных сервисов вокруг WhatsApp Business API, спрос на которые резко вырос благодаря широкому внедрению облачного API WhatsApp для бизнес-коммуникаций.
Внутри naya-flore и nvlore-hsc реализована функция requestPairingCode, якобы предназначенная для работы с процессом привязки WhatsApp, но фактически загружающая JSON-файл в формате base64 с GitHub-адреса. Этот файл содержит перечень индонезийских телефонных номеров, владельцы которых исключаются из числа целей. Для остальных пользователей выполняется команда «rm -rf », что приводит к полному удалению всех файлов в текущей директории и фактическому уничтожению кода на рабочей машине разработчика.
Помимо основной разрушительной логики, в обоих пакетах присутствует закомментированная функция generateCreeds, способная отправлять на удалённый сервер номер телефона жертвы, идентификатор устройства, статус и жёстко прописанный ключ. Сейчас она отключена, но её наличие говорит о возможных планах по краже данных в будущем.
Случай с naya-flore и nvlore-hsc показывает, что целевые атаки на разработчиков становятся всё более избирательными и разрушительными. Механизм Kill Switch, управляемый через GitHub, даёт злоумышленникам возможность оперативно менять список целей и атаковать лишь выбранные системы, минимизируя риск раскрытия.
Такой подход подчёркивает необходимость тщательной проверки всех сторонних зависимостей, особенно тех, что запрашивают параметры, не являющиеся критически важными для заявленных функций.
В экосистеме NPM были обнаружены два вредоносных пакета, замаскированных под библиотеки для разработки ботов и автоматизированных сервисов на базе WhatsApp Business API. Эти модули, выявленные специалистами компании Socket, имитировали популярные WhatsApp-библиотеки и с момента публикации в прошлом месяце были загружены более 1,1 тысячи раз. Несмотря на поданные запросы на удаление и жалобы на автора с ником nayflore, оба пакета всё ещё доступны в каталоге NPM.
Злонамеренные модули получили названия naya-flore и nvlore-hsc. У этого же автора присутствуют ещё пять пакетов — nouku-search, very-nay, naya-clone, node-smsk и @veryflore/disc. Хотя они пока не содержат вредоносного кода, эксперты предупреждают, что в любой момент через обновление в них может быть внедрена опасная функциональность.
Все эти проекты копируют стиль и названия легитимных библиотек, используемых при создании ботов и автоматизированных сервисов вокруг WhatsApp Business API, спрос на которые резко вырос благодаря широкому внедрению облачного API WhatsApp для бизнес-коммуникаций.
Внутри naya-flore и nvlore-hsc реализована функция requestPairingCode, якобы предназначенная для работы с процессом привязки WhatsApp, но фактически загружающая JSON-файл в формате base64 с GitHub-адреса. Этот файл содержит перечень индонезийских телефонных номеров, владельцы которых исключаются из числа целей. Для остальных пользователей выполняется команда «rm -rf », что приводит к полному удалению всех файлов в текущей директории и фактическому уничтожению кода на рабочей машине разработчика.
Помимо основной разрушительной логики, в обоих пакетах присутствует закомментированная функция generateCreeds, способная отправлять на удалённый сервер номер телефона жертвы, идентификатор устройства, статус и жёстко прописанный ключ. Сейчас она отключена, но её наличие говорит о возможных планах по краже данных в будущем.
Случай с naya-flore и nvlore-hsc показывает, что целевые атаки на разработчиков становятся всё более избирательными и разрушительными. Механизм Kill Switch, управляемый через GitHub, даёт злоумышленникам возможность оперативно менять список целей и атаковать лишь выбранные системы, минимизируя риск раскрытия.
Такой подход подчёркивает необходимость тщательной проверки всех сторонних зависимостей, особенно тех, что запрашивают параметры, не являющиеся критически важными для заявленных функций.