Các gói này được các nhà nghiên cứu tại công ty an ninh mạng Socket (Mỹ) phát hiện, mạo danh thành các thư viện socket WhatsApp và đã được tải xuống hơn 1.100 lần. Mặc dù Socket đã gửi thông báo yêu cầu gỡ bỏ, nhưng cả hai đều vẫn có sẵn đến thời điểm hiện tại.
Tên của hai gói độc hại là naya-flore và nvlore-hsc, mô phỏng các thư viện dành cho nhà phát triển WhatsApp hợp pháp, được sử dụng để xây dựng bot và các công cụ tự động hóa xung quanh WhatsApp Business API.
Socket lưu ý rằng các thư viện này gần đây đã có sự gia tăng đáng kể, bởi ngày càng nhiều doanh nghiệp sử dụng Cloud API của WhatsApp để giao tiếp với người dùng.
Code xoá dữ liệu
Cả naya-flore và nvlore-hs đều chứa một hàm có tên là “requestPairingCode”, để xử lý việc ghép nối WhatsApp nhưng lại truy xuất tệp JSON base64 từ địa chỉ GitHub. Tệp JSON chứa danh sách các số điện thoại có mã vùng đến từ Indonesia, có chức năng như một “kill switch”, nhằm loại trừ chủ sở hữu những số điện thoại này khỏi chức năng độc hại.
Đối với các hàm còn lại, code sẽ thực thi lệnh “rm -rf *”, lệnh này sẽ xóa tất cả các tệp theo cách đệ quy trong thư mục hiện tại, về cơ bản là xóa code khỏi hệ thống của nhà phát triển.
.png)
Hình 1. Code xoá dữ liệu
Socket cũng phát hiện ra một hàm trích xuất dữ liệu không hoạt động (“generateCreeds”), có thể trích xuất số điện thoại, ID thiết bị, trạng thái và khóa hardcoded của nạn nhân. Hàm này có sẵn nhưng các nhà nghiên cứu cho biết nó bị chú thích trong cả hai gói, vì vậy generateCreeds đã bị vô hiệu hóa.
.png)
Hình 2. Chức năng lọc dữ liệu hiện đang bị vô hiệu hóa
Diễn biến liên quan
Trong một diễn biến khác, Socket cũng phát hiện 11 gói Go độc hại sử dụng kỹ thuật obfuscation string-array để âm thầm thực thi các payload từ xa khi chạy. Các gói này tạo ra một shell, lấy tập lệnh giai đoạn thứ hai hoặc tệp thực thi từ tên miền .icu hoặc .tech và chạy nó trong bộ nhớ, nhắm mục tiêu đến cả máy chủ CI Linux và máy trạm Windows.
Phần lớn các gói này là typosquats, nghĩa là chúng lợi dụng lỗi đánh máy và sự nhầm lẫn của nhà phát triển để đánh lừa họ tải xuống gói độc hại.
.png)
Hình 3. Kết quả tìm kiếm có chứa liên kết đến một gói độc hại
Các gói độc hại và đường dẫn của chúng bao gồm: github.com/stripedconsu/linker, github.com/agitatedleopa/stm, github.com/expertsandba/opt, github.com/wetteepee/hcloud-ip-floater, github.com/weightycine/replika, github.com/ordinarymea/tnsr_ids, github.com/ordinarymea/TNSR_IDS, github.com/cavernouskina/mcp-go, github.com/lastnymph/gouid, github.com/sinfulsky/gouid, github.com/briefinitia/gouid.
Các nhà nghiên cứu cho biết, các gói độc hại này vẫn còn hoạt động, vì vậy các nhà phát triển Go được khuyến nghị nên hết sức thận trọng và kiểm tra kỹ các bản build trước khi sử dụng trong môi trường của mình.
