Socket’in tehdit araştırma ekibi, WhatsApp Business API ile entegre olan geliştiricileri hedefleyen sofistike bir tedarik zinciri saldırısı ortaya çıkardı.
NPM kullanıcısı Nayflore tarafından [email protected] adresini kullanarak yayınlanan iki kötü amaçlı NPM paketi olan NAYA-FLORE ve NVLore-HSC, kendilerini meşru WhatsApp Socket Kütüphaneleri olarak gizleyin.
Bu paketler, platformun dünya çapında 200 milyondan fazla işletme tarafından benimsenmesinin yanında artan WhatsApp otomasyonu için büyüyen üçüncü taraf araçlarının artan ekosisteminden yararlanıyor.
Geliştiriciler genellikle sohbet botları ve mesajlaşma entegrasyonları oluşturmak için Whatsapp-Web.js ve Baileys gibi kütüphanelere güvenerek bu kötü niyetli alternatifleri özellikle aldatıcı hale getirir.
Bir ayda 1.110’dan fazla indirme ile paketler, NPM güvenlik ekibine gönderilen yayından kaldırma taleplerine rağmen NPM kayıt defterinde aktif kalır.
Saldırı vektörü, tipik veri hırsızlığından doğrudan sistem sabotajına yükselmeyi temsil eden telefon numarası doğrulaması ile tetiklenen uzaktan kumandalı bir yıkım mekanizmasını kullanır.
Rapora göre, Socket’in AI tarayıcısı, gizli ağ istekleri ve yıkıcı komutlar da dahil olmak üzere anormal davranışı tespit etti ve paketlerin felaket yeteneklerini barındırırken normal geliştirme iş akışlarına karışma niyetini vurguladı.
Uzaktan Öldürme Anahtarı
Saldırının özünde, paketlerin RequestPairingcode işlevine gömülü olan ve geliştiricileri cezbetmek için otantik WhatsApp eşleştirme işlemlerini taklit eden bir telefon numarası tabanlı öldürme anahtarı var.
Yürütme üzerine işlev, https://raw.githubusercontent.com/navalinh/database/main/seska.json adresindeki bir GitHub deposundan Base64-Obsuscated bir veritabanını getirir.
Bu uç nokta, “Ahr0chm6ly9yxcuz2l0AHVIDXNLCMnvbnrlbnquy29tl25hdmfmaw5ol2rhdggfiyxnll21haw4vc2vza2euannvbg ==, endonik bir şekilde hosting that that that the Liste.
Sağlanan telefon numarası, bu uzaktan güncellenebilir veritabanına bir girişle eşleşiyorsa, paket, Baileys gibi meşru kütüphaneleri yineleyen makeocket konfigürasyonları gibi tanıdık yapıları kullanarak görünüşte normal WhatsApp soket işlemleriyle ilerler.
Ancak, Listement olmayan sayılar için işlev, “0000” e bir bayrak ayarlar ve ilk eşleştirme başarılı olduktan sonra geçerli dizindeki tüm dosyaları tekrarlayan bir şekilde silmek için ‘rm -rf *’ komutunu yürütür.
Bu gecikmiş tetikleyici, gizli, paketin cüret testinden geçmesine izin verirken, tehdit aktörlerinin coğrafi veya demografik profillere dayalı kurbanları seçici olarak hedeflemelerini sağlar.
PairKey parametresi, Meşruiyet yanılsamasını daha da güçlendirir, Kill Switch’te işlevsel bir rol sunmaz, ancak kod incelemeleri sırasında şüphe etmek için beklenen WhatsApp API modelleriyle hizalanır.
Uykuda pespiltrasyon
Yıkmanın ötesinde, paketler, telefon numaraları, tanımlayıcıları ve durum dahil cihaz bilgilerini https://api.verylinh.my.id/running’e de dahil olmak üzere, baz64-kodlanmış anahtar ‘znvja19nb2q’ ile yayın isteklerini kullanarak göndermek üzere tasarlanmış, hareketsiz veri işlevleri üzerinden hareketsiz veri eksfiltrasyon özelliklerini içerir.
Bu çağrılar mevcut sürümlerde yorumlansa da, varlıkları, herhangi bir yıkıcı eylemden önce beyaz liste sistemlerinden keşif verilerini toplamak için gelecekteki yinelemelerde, yeniden etkinleştirme için hazır altyapı göstermektedir.
Buna ek olarak, Naya-Flore, özel depolara yetkisiz erişim sağlayabilmesine rağmen, kullanılmayan bir GitHub kişisel erişim belirtecisi ‘GHP_G4BW06ISRFUMQA2JNFLS5OWKQSIBOB3H5GYP’ yerleştirir, ancak kesin amacı belirsiz kalır ve bitmemiş saldırı özelliklerine işaret eder.
Aynı yazar Nouku-Search, çok Nay, Naya-Clone, Node-SMSK ve @Molflore/Disc gibi, iyi huylu görünen ancak bağlam göz önüne alındığında talep incelemesi gibi başka paketler yayınladı.
Bu olay, saldırganların coğrafi olarak hedeflenen kötü amaçlı yazılımları dağıtmak için açık kaynaklı ekosistemlere olan güvenden yararlandığı niş geliştirici topluluklarında gelişen tehditlerin altını çiziyor.
Kuruluşlar şüpheli ağ etkinliği, dosya sistemi manipülasyonları ve gereksiz hassas girdiler için bağımlılıkları denetlemelidir, Socket’in GitHub uygulaması, CLI, tarayıcı uzantısı ve MCP gibi araçlar, öldürme anahtarı kalıpları ve spiltrasyon denemeleri için tarama yaparak bu tür riskleri önceden tespit edebilir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Göstergeler |
|---|---|
| Kötü niyetli paketler | Naya-Flore, Nvlore-HSC |
| Ağ Göstergeleri | https://api.verylinh.my.id/running, https://raw.githubusercontent.com/navalinh/database/main/seska.json |
| Tehdit Oyuncu Tanımlayıcıları | NPM takma ad: nayflore, kayıt e -posta: [email protected], github pat: ghp_g4bw0isrfuzqa2jnfls5owkqsbob3h5gyp |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir