Вредоносный пакет npm крадёт аккаунты и сообщения WhatsApp
Вредоносный пакет в реестре Node Package Manager (NPM) выдаёт себя за легитимную библиотеку WhatsApp* Web API, чтобы красть сообщения WhatsApp*, собирать контакты и получать доступ к аккаунту.
Вредоносный пакет, являющийся ответвлением популярного проекта WhiskeySockets Baileys, предоставляет легитимную функциональность. Он доступен на npm под названием lotusbail по меньшей мере шесть месяцев и был скачан более 56 000 раз.
Пакет lotusbail на NPM
Исследователи из компании Koi Security, специализирующейся на безопасности цепочек поставок, обнаружили вредоносный пакет и выяснили, что он может похищать токены аутентификации и сеансовые ключи WhatsApp*, перехватывать и записывать все сообщения — как отправленные, так и полученные, а также извлекать списки контактов, медиафайлы и документы.
«Пакет содержит легитимный клиент WebSocket, который взаимодействует с WhatsApp*. Каждое сообщение, проходящее через ваше приложение, сначала обрабатывается оболочкой сокета вредоносного ПО», — объясняют исследователи.
«При аутентификации оболочка фиксирует ваши учётные данные. При поступлении сообщений она их перехватывает. При отправке сообщений она их записывает».
Код для сбора данных
Источник: Koi Security
Перед извлечением данных захваченная информация шифруется с помощью специальной реализации RSA и нескольких уровней обфускации, таких как использование Unicode, сжатие LZString и шифрование AES.
Помимо кражи данных, вредоносная программа содержит код, который связывает устройство злоумышленника с аккаунтом жертвы в WhatsApp* посредством сопряжения устройств.
Это даёт злоумышленнику постоянный доступ к аккаунту даже после удаления вредоносного пакета NPM. Доступ сохраняется до тех пор, пока жертва вручную не удалит связанные устройства из настроек WhatsApp*.
Функция сопряжения устройств
Источник: Koi Security
Koi Security сообщает, что lotusbail использует набор из 27 ловушек с бесконечным циклом, чтобы усложнить отладку и анализ. Вероятно, именно поэтому ему так долго удавалось оставаться незамеченным.
Разработчикам, использовавшим этот пакет, рекомендуется удалить его из системы и проверить свою учётную запись WhatsApp* на наличие мошеннических подключённых устройств.
Компания Koi Security подчеркивает, что недостаточно просто просмотреть исходный код в поисках вредоносных строк. Разработчики должны отслеживать поведение системы во время выполнения на предмет неожиданных исходящих подключений или активности во время аутентификации с использованием новых зависимостей, чтобы убедиться в их безопасности.
Редактор: AndreyEx
