Recent, a fost descoperit un pachet malițios în platforma Node Package Manager (npm), folosită de dezvoltatorii JavaScript pentru distribuirea bibliotecilor software. Acest pachet, care se prezintă sub denumirea „lotusbail”, maschează o bibliotecă legitimă pentru WhatsApp Web API, dar în realitate integrează funcții de spionaj și furt de date. În contextul creșterii numărului de atacuri cibernetice, această descoperire evidențiază riscurile asociate utilizării pachetelor din surse nesigure.
Cum funcționează pachetul malițios al WhatsApp
Codul negativ reprezintă o bifurcație a proiectului WhiskeySockets Baileys, folosit pentru crearea de boți și automatizări în WhatsApp Web. Pachetul „lotusbail” extinde această funcționalitate, oferind acces neautorizat la datele utilizatorilor. Prin intermediul său, atacatorii pot:
– fura tokenuri de autentificare și chei de sesiune;
– intercepta mesajele trimise și primite;
– accesa fișiere multimedia, inclusiv fotografii și înregistrări audio.
Mesajele sunt interceptate fără ca utilizatorul să fie înștiințat
Cercetările arată că pachetul afectează clientul legitim WebSocket de comunicare cu WhatsApp. Astfel, toate mesajele sunt capturate înainte de a ajunge la aplicație. Specialiștii explică:
– datele de autentificare sunt capturate la login;
– mesajele sunt interceptate și înregistrate;
– funcționarea normală a aplicației continuă, însă malware-ul adaugă destinatari invizibili, ceea ce permite monitorizarea conversațiilor.
Datele furate sunt criptate printr-o metodă RSA personalizată, pentru a evita detectarea de către sistemele de siguranță ale rețelei. Aceasta face ca activitatea malițioasă să fie dificil de depistat.
Cum poate fi preluat controlul asupra contului
Un aspect îngrijorător este posibilitatea ca atacatorii să controleze complet contul WhatsApp al victimei. Pachetul conține o funcție care permite legarea unui dispozitiv extern de cont, utilizând mecanismul oficial de asociere. Procesul include:
– generarea unei secvențe aleatorii de 8 caractere, trimisă atacatorului;
– deturnarea procesului de asociere printr-un cod preconfigurat;
– obținerea accesului invizibil la conversații și fișiere.
Această metodă face ca utilizatorul să nu observe prezența dispozitivului extern și să nu suspecteze preluarea controlului.
Ce măsuri de protecție trebuie luate
Specialiștii recomandă verificarea periodică a listei de dispozitive asociate în secțiunea „Setări” din WhatsApp. În cazul identificării unor dispozitive necunoscute, acestea trebuie dezactivate imediat pentru a preveni accesul neautorizat. Alte măsuri de siguranță includ:
– dezinstalarea pachetului malițios din npm imediat ce este descoperit;
– eliminarea manuală a dispozitivelor externe asociate contului;
– actualizarea constantă a aplicației și a sistemului de operare.
Este important de menționat că pachetul „lotusbail” a fost activ de aproximativ șase luni și a fost descărcat peste 56.000 de ori. Deși dezinstalarea elimina codul periculos, legătura cu atacatorii trebuie ștersă manual pentru a evita continuarea preluării controlului.
Prin urmare, utilizatorii trebuie să fie vigilenți și să monitorizeze activitatea conturilor de WhatsApp pentru a detecta orice activitate suspectă. Continuuarea informării despre evoluțiile din domeniul securității cibernetice este esențială pentru o protecție eficientă.
