0

Allarme su NPM: pacchetti malevoli prendono di mira sviluppatori WhatsApp

Sono stati scoperti una serie di pacchetti malevoli che hanno come obiettivo gli sviluppatori di WhatsApp: allarme su NPM.

NOTIZIA di Francesco Messina   —   08/08/2025
WhatsApp

Grave allarme per gli sviluppatori che lavorano con strumenti legati a WhatsApp: i ricercatori di Socket hanno scoperto due pacchetti NPM malevoli, naya-flore e nvlore-hsc, che si spacciano per librerie legittime per la creazione di bot e strumenti di automazione basati su WhatsApp Business API. In realtà, contengono codice distruttivo progettato per cancellare file dal sistema dello sviluppatore.

Questi pacchetti sono stati scaricati oltre 1.100 volte dal mese scorso, nonostante le segnalazioni inviate da Socket e le richieste di rimozione. Il publisher responsabile, nayflore, ha pubblicato anche altri pacchetti apparentemente innocui che al momento non mostrano comportamenti malevoli, ma potrebbero essere aggiornati in futuro per includere codice dannoso.

Come viene mosso l'attacco

Le librerie prendono di mira l'elevata domanda di strumenti di sviluppo per WhatsApp, spinta dall'adozione crescente della WhatsApp Cloud API. All'interno dei pacchetti, la funzione requestPairingCode, che dovrebbe stabilire la connessione all'account WhatsApp, in realtà recupera un file JSON codificato in base64 da GitHub.

WhatsApp Android Beta: profili Instagram verificati direttamente nell'app con la nuova funzione WhatsApp Android Beta: profili Instagram verificati direttamente nell’app con la nuova funzione

Questo file contiene una lista di numeri telefonici indonesiani che funge da kill switch: se il numero dell'utente è incluso, l'attacco viene evitato. In caso contrario, il pacchetto esegue il comando rm -rf *, eliminando tutti i file nella directory corrente.

Una funzione dormiente e le raccomandazioni degli esperti

Inoltre, è presente una funzione "dormiente" chiamata generateCreeds, al momento commentata, che potrebbe potenzialmente esfiltrare dati sensibili come il numero di telefono, ID del dispositivo, stato dell'utente e una chiave codificata. Oltre ai pacchetti NPM, Socket ha individuato undici pacchetti malevoli anche in Go, che utilizzano offuscamento tramite array di stringhe e scaricano payload esterni da domini .icu o .tech.

WhatsApp
WhatsApp

Questi script vengono eseguiti direttamente in memoria, colpendo sia server Linux CI che workstation Windows. Molti di questi pacchetti si basano sul typosquatting, sfruttando nomi simili a quelli di librerie affidabili per ingannare gli sviluppatori. Gli esperti raccomandano quindi di controllare accuratamente tutte le dipendenze prima di usarle nei propri progetti.