В экосистеме NPM были обнаружены два вредоносных пакета, замаскированных под библиотеки для разработки ботов и автоматизированных сервисов на базе WhatsApp Business API. Эти модули, выявленные специалистами компании Socket, имитировали популярные WhatsApp-библиотеки и с момента публикации в прошлом месяце были загружены более 1,1 тысячи раз. Несмотря на поданные запросы на удаление и жалобы на автора с ником nayflore, оба пакета всё ещё доступны в каталоге NPM, пишут в Securitylab.
Злонамеренные модули получили названия naya-flore и nvlore-hsc. У этого же автора присутствуют ещё пять пакетов — nouku-search, very-nay, naya-clone, node-smsk и @veryflore/disc. Хотя они пока не содержат вредоносного кода, эксперты предупреждают, что в любой момент через обновление в них может быть внедрена опасная функциональность.
Все эти проекты копируют стиль и названия легитимных библиотек, используемых при создании ботов и автоматизированных сервисов вокруг WhatsApp Business API, спрос на которые резко вырос благодаря широкому внедрению облачного API WhatsApp для бизнес-коммуникаций.
Внутри naya-flore и nvlore-hsc реализована функция requestPairingCode, якобы предназначенная для работы с процессом привязки WhatsApp, но фактически загружающая JSON-файл в формате base64 с GitHub-адреса. Этот файл содержит перечень индонезийских телефонных номеров, владельцы которых исключаются из числа целей. Для остальных пользователей выполняется команда «rm -rf », что приводит к полному удалению всех файлов в текущей директории и фактическому уничтожению кода на рабочей машине разработчика.
Помимо основной разрушительной логики, в обоих пакетах присутствует закомментированная функция generateCreeds, способная отправлять на удалённый сервер номер телефона жертвы, идентификатор устройства, статус и жёстко прописанный ключ. Сейчас она отключена, но её наличие говорит о возможных планах по краже данных в будущем.