A equipe de pesquisa de ameaças da Socket descobriu um sofisticado ataque à cadeia de suprimentos direcionado a desenvolvedores que se integram à API do WhatsApp Business.
Dois pacotes npm maliciosos, naya-flore e nvlore-hsc, publicados pelo usuário npm nayflore usando o idzzcch@gmail.com de e-mail, se disfarçam como bibliotecas legítimas de soquete do WhatsApp.
Esses pacotes exploram o crescente ecossistema de ferramentas de terceiros para automação do WhatsApp, que cresceu junto com a adoção da plataforma por mais de 200 milhões de empresas em todo o mundo.
Os desenvolvedores geralmente contam com bibliotecas como whatsapp-web.js e baileys para criar chatbots e integrações de mensagens, tornando essas alternativas maliciosas particularmente enganosas.
Com mais de 1.110 downloads em um mês, os pacotes permanecem ativos no registro npm, apesar das solicitações de remoção enviadas à equipe de segurança do npm.
O vetor de ataque aproveita um mecanismo de destruição controlado remotamente acionado pela verificação do número de telefone, representando uma escalada do roubo típico de dados para a sabotagem total do sistema.
De acordo com o relatório, o scanner de IA do Socket detectou o comportamento anômalo, incluindo solicitações de rede ofuscadas e comandos destrutivos, destacando a intenção dos pacotes de se misturar aos fluxos de trabalho normais de desenvolvimento enquanto abrigava recursos catastróficos.
Interruptor de interrupção remoto
No centro do ataque está um kill switch baseado em número de telefone incorporado à função requestPairingCode dos pacotes, que imita os processos autênticos de emparelhamento do WhatsApp para atrair desenvolvedores.
Após a execução, a função busca um banco de dados ofuscado em Base64 de números de telefone na lista de permissões de um Repositório GitHub em https://raw.githubusercontent.com/navaLinh/database/main/seska.json.
Esse endpoint, decodificado a partir de strings como “aHR0cHM6Ly9yYXcuZ2l0aHVidXNlcmNvbnRlbnQuY29tL25hdmFMaW5oL2RhdGFiYXNlL21haW4vc2Vza2EuanNvbg==”, hospeda uma lista principalmente de números de celular indonésios que ignoram a lógica de destruição.
Se o número de telefone fornecido corresponder a uma entrada neste banco de dados atualizável remotamente, o pacote prossegue com operações de soquete do WhatsApp aparentemente normais, utilizando estruturas familiares como configurações makeSocket que ecoam bibliotecas legítimas, como baileys.
No entanto, para números não listados, a função define um sinalizador como “0000” e executa o comando ‘rm -rf *’, excluindo recursivamente todos os arquivos no diretório atual após o emparelhamento inicial parecer bem-sucedido.
Esse gatilho atrasado aumenta a furtividade, permitindo que o pacote passe por testes superficiais e permitindo que os agentes de ameaças atinjam seletivamente as vítimas com base em perfis geográficos ou demográficos.
O parâmetro pairKey reforça ainda mais a ilusão de legitimidade, não desempenhando nenhum papel funcional no kill switch, mas alinhando-se com os padrões esperados da API do WhatsApp para evitar suspeitas durante as revisões de código.
Exfiltração dormente
Além da destruição, os pacotes incluem Exfiltração de dados recursos por meio da função generateCreeds, projetada para enviar informações do dispositivo, incluindo números de telefone, identificadores e status para https://api.verylinh.my.id/running usando solicitações POST com uma chave codificada em Base64 ‘ZnVja19nb2Q’.
Embora essas chamadas sejam comentadas nas versões atuais, sua presença indica infraestrutura pronta para reativação, potencialmente em iterações futuras para coletar dados de reconhecimento de sistemas na lista de permissões antes de qualquer ação destrutiva.
Além disso, o naya-flore incorpora um token de acesso pessoal do GitHub não utilizado ‘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’, que pode conceder acesso não autorizado a repositórios privados, embora seu propósito exato permaneça obscuro e possa apontar para recursos de ataque inacabados.
O mesmo autor publicou outros pacotes como nouku-search, very-nay, naya-clone, node-smsk e @veryflore/disc, que parecem benignos, mas exigem escrutínio dado o contexto.
Esse incidente ressalta as ameaças em evolução nas comunidades de desenvolvedores de nicho, onde os invasores exploram a confiança em ecossistemas de código aberto para implantar malware direcionado geograficamente.
As organizações devem auditar dependências em busca de atividades suspeitas de rede, manipulações do sistema de arquivos e entradas confidenciais desnecessárias, enquanto ferramentas como o aplicativo GitHub do Socket, CLI, extensão do navegador e MCP podem detectar preventivamente esses riscos verificando padrões de kill switch e tentativas de exfiltração.
Indicadores de Comprometimento (IOCs)
| Categoria | Indicadores |
|---|---|
| Pacotes maliciosos | naya-flore, nvlore-hsc |
| Indicadores de rede | https://api.verylinh.my.id/running, https://raw.githubusercontent.com/navaLinh/database/main/seska.json |
| Identificadores de Agentes de Ameaças | npm alias: nayflore, E-mail de registro: idzzcch@gmail.com, GitHub PAT: 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 |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça