WhatsApp, nuova campagna di attacchi informatici prende di mira l'ecosistema di sviluppo

La community degli sviluppatori WhatsApp si trova ad affrontare una nuova minaccia informatica. I ricercatori di sicurezza di Socket hanno identificato due pacchetti NPM dannosi che si spacciano per legittime librerie di sviluppo dell'app di messaggistica, nascondendo invece un codice distruttivo progettato per cancellare completamente i dati sui computer delle vittime.

I pacchetti incriminati, denominati "naya-flore" e "nvlore-hsc", sono stati scaricati oltre 1.100 volte dal momento della loro pubblicazione, avvenuta il mese scorso. Entrambi i software sono stati creati dall'utente "nayflore" e, nonostante le richieste di rimozione presentate da Socket, risultano ancora disponibili nel registro NPM al momento della scoperta.

Malware prende di mira sviluppatori WhatsApp e non solo

L'analisi condotta dai ricercatori ha rivelato un sofisticato meccanismo di attivazione del payload dannoso: entrambi i pacchetti contengono una funzione chiamata "requestPairingCode", apparentemente destinata a gestire l'accoppiamento con WhatsApp ma che in realtà recupera un file JSON codificato in base64 da un repository GitHub. Il file contiene un elenco di numeri di telefono indonesiani che fungono da "kill switch", una caratteristica che esclude i possessori di questi numeri dalla funzionalità distruttiva. Per tutti gli altri utenti, considerati target validi, il codice esegue il comando 'rm -rf *', che elimina ricorsivamente tutti i file presenti nella directory corrente, causando la perdita completa del codice dei progetti dello sviluppatore.

Socket ha inoltre individuato una funzione dormiente denominata "generateCreeds", progettata per l'esfiltrazione di dati sensibili come numero di telefono, ID del dispositivo, stato e chiave codificata della vittima. Attualmente la funzione risulta commentata e quindi disabilitata, ma la sua presenza suggerisce intenzioni più ampie da parte degli attaccanti. La campagna dannosa non si limita al registro NPM: i ricercatori hanno identificato 11 pacchetti Go compromessi che utilizzano tecniche di offuscamento per eseguire payload remoti. Questi pacchetti generano una shell, recuperano script o eseguibili da domini .icu o .tech e li eseguono direttamente in memoria, prendendo di mira sia server Linux CI che workstation Windows.

La maggior parte dei pacchetti Go dannosi sfrutta la tecnica del typosquatting, basandosi su errori di battitura e confusione degli sviluppatori per indurli al download. Tra i pacchetti identificati figurano "github.com/stripedconsu/linker", "github.com/agitatedleopa/stm", "github.com/expertsandba/opt" e diversi altri, molti dei quali risultano ancora attivi. L'aumento della domanda di librerie per sviluppatori WhatsApp è direttamente correlato alla crescente adozione dell'API cloud di WhatsApp per la comunicazione aziendale con i clienti. Gli attaccanti stanno sfruttando strategicamente il periodo di espansione di questo mercato per infiltrare pacchetti dannosi tra gli strumenti legittimi utilizzati ad esempio per creare bot e sistemi di automazione.

La presenza di "nayflore" si estende oltre i due pacchetti principali, con altri cinque pacchetti pubblicati: "nouku-search", "very-nay", "naya-clone", "node-smsk" e "@veryflore/disc". Pur non risultando attualmente dannosi, Socket raccomanda estrema cautela, poiché un aggiornamento futuro potrebbe facilmente iniettare codice pericoloso in qualsiasi momento.