Kwaadaardige npm-pakketten met ‘kill switch’ richten zich op WhatsApp-ontwikkelaars
Ontwikkelaars die werken aan integraties voor de WhatsApp Business API worden momenteel geconfronteerd met een serieuze bedreiging. Het Threat Research Team van cybersecuritybedrijf Socket heeft twee kwaadaardige npm-pakketten ontdekt die zich voordoen als legitieme WhatsApp-bibliotheken, maar in werkelijkheid een gevaarlijke 'kill switch' bevatten.
De pakketten, met de namen naya-flore en nvlore-hsc, zijn gepubliceerd door de npm-gebruiker nayflore. Ze zijn ontworpen om de systemen van ontwikkelaars op afstand te wissen als het telefoonnummer van de gebruiker niet op een witte lijst staat.
Deze malafide software is al meer dan 1.110 keer gedownload in een maand tijd en blijft actief op het npm-platform. Socket heeft inmiddels een verzoek ingediend bij het npm-securityteam om de pakketten te verwijderen en het bijbehorende account te schorsen.
Exploitatie van groeiend ecosysteem
De WhatsApp Business API wordt wereldwijd door meer dan 200 miljoen bedrijven gebruikt, wat heeft geleid tot een bloeiend ecosysteem van externe bibliotheken en tools voor automatisering. Ontwikkelaars vertrouwen vaak op populaire pakketten zoals whatsapp-web.js en baileys om chatbots en andere messaging-integraties te bouwen.
De kwaadaardige pakketten van nayflore maken misbruik van dit vertrouwen door zich te presenteren als alternatieve WhatsApp-socketimplementaties, waardoor nietsvermoedende ontwikkelaars kwetsbaar worden voor een aanval.
Meer over app
Over Witold Kepinski
