Rejtett veszélyek és kiiktatás
A két fő csomag – naya-flore és nvlore-hs – egyaránt WhatsApp-fejlesztői socket könyvtárnak mutatta magát. Mindkettőben egy requestPairingCode nevű függvény található, amely alapvetően azt a látszatot kelti, hogy WhatsApp-párosítást kezel, valójában azonban egy GitHub-címről tölt le egy base64 kódolt JSON-t. Ebben indonéziai telefonszámok szerepelnek, akiknél a kártékony funkció nem lép életbe; mindenki más esetében azonban a kód végrehajtja az rm -rf * parancsot, vagyis mindent letöröl a könyvtárban. A csomagok tartalmaznak egy adatlopó funkciót is, de ezt egyelőre kikommentálták, így jelenleg nem aktív.
Támadás más programnyelvekben is
Nemcsak JavaScript-fejlesztők vannak veszélyben: a Go ökoszisztémát is támadják hasonló hamis könyvtárak, amelyek obfuszkált kóddal távoli kártevőt futtatnak. Ezek főként elgépelésre alapozva csapják be a fejlesztőket, így könnyű véletlenül rossz csomagot választani. Az érintett könyvtárak közül a legtöbb még mindig elérhető, ezért minden fejlesztőnek érdemes fokozott figyelemmel ellenőriznie, hogy milyen szoftverkomponenst épít be a projektjébe.
