Вредоносный пакет npm с более чем 56 000 загрузок маскируется под рабочую библиотеку WhatsApp Web API, а затем крадет сообщения, собирает учетные данные и контакты, а также угоняет учетные записи WhatsApp пользователей.
По данным Koi Security, пакет npm lotusbail был доступен для загрузки в течение шести месяцев и особенно опасен, поскольку код действительно работает.
«Этот пакет действительно функционирует как API WhatsApp», — заявил в воскресной публикации исследователь Koi Security Туваль Адони. «Он основан на легитимной библиотеке Baileys и предоставляет реальную, работающую функциональность для отправки и получения сообщений WhatsApp».
Помимо заявленной функциональности, секретная библиотека, являющаяся форком легитимного пакета @whiskeysockets/baileys, использует WebSocket для связи с WhatsApp.
Однако это означает, что вся коммуникация WhatsApp проходит через обертку сокета, что позволяет ей захватывать ваши учетные данные при входе в систему и перехватывать сообщения по мере их отправки и получения.
«Все ваши токены аутентификации WhatsApp, каждое отправленное или полученное сообщение, полные списки контактов, медиафайлы — всё, что проходит через API, дублируется и готовится к эксфильтрации», — написал Адони.
Вредоносное ПО также использует собственную реализацию RSA для шифрования данных, плюс четыре уровня обфускации — манипуляцию Unicode, сжатие LZString, кодировку Base-91 и шифрование AES — перед отправкой украденной информации на сервер, контролируемый злоумышленником.
Кроме того, оно создает бэкдор в учетной записи WhatsApp пользователя через процесс сопряжения устройств в чат-приложении, связывая устройство злоумышленника с устройством жертвы. Это означает, что даже после удаления вредоносного пакета npm устройство злоумышленника может оставаться связанным с учетной записью WhatsApp ничего не подозревающего пользователя.
Этот последний «отравленный» пакет иллюстрирует постоянно растущий риск для цепочек поставок и следует за несколькими случаями криптовалютных, кражи учетных данных и других кражи секретов библиотек npm, а также ботов, наводняющих реестр спамными пакетами в рамках масштабных кампаний по сбору токенов.
The Register недавно поговорил с соучредителем и генеральным директором Tea Тимом Льюисом об этих инцидентах после того, как более 150 000 вредоносных пакетов npm, связанных с кампанией по сбору токенов Tea, вынудили основателей прекратить выплату вознаграждений в рамках программы стимулирования и переработать протокол перед запуском основной сети в начале 2026 года.
«Я рассматриваю это как канарейку в угольной шахте», — сказал Льюис. «Когда вы являетесь деструктивной организацией… существует стимул использовать эту же технику для атаки на [цепочки поставок]. Поэтому нам нужно исправить ядро». ®
(*) Имейте ввиду, редакции некоторых западных изданий придерживаются предвзятых взглядов в освящении некоторых новостей, связанных с Россией. Кроме того, IT издания часто пропагандирует леволиберальные и антриреспубликанские взгляды в освящении некоторых новостей.
Автор – Jessica Lyons
