U Node Package Manager (NPM) registru pronađen je zlonamerni paket koji se predstavlja kao legitimna WhatsApp Web API biblioteka kako bi ukrao WhatsApp poruke, sakupio kontakte i dobio pristup nalogu.
Reč je o modifikaciji popularnog WhiskeySockets Baileys projekta, gde zlonamerni paket nudi legitimnu funkcionalnost. Paket pod imenom lotusbail dostupan je na npm platformi već najmanje šest meseci i do sada je imao preko 56,000 preuzimanja.
Tim istraživača kompanije za bezbednost lanca snabdevanja Koi Security otkrio je zlonamerni paket i otkrio da može ukrasti WhatsApp autentifikacione tokene i sesijske ključeve, presresti i zabeležiti sve poruke – kako one koje su poslate, tako i one koje su primljene, i izvući listu kontakata, medijske fajlove i dokumenta.
“Paket oblaže legitimnog WebSocket klijenta koji komunicira sa WhatsApp-om. Svaka poruka koja prolazi kroz vašu aplikaciju prvo prolazi kroz omotač zlonamernog softvera,” objašnjavaju istraživači.
Ukradene informacije su šifrovane sa prilagođenom RSA implementacijom i više slojeva obfuskacije, kao što su trikovi sa Unicode-om, LZString kompresija i AES enkripcija pre nego što se iznesu.
Osim krađe podataka, zlonamerni paket takođe sadrži kod koji povezuje uređaj napadača sa žrtvinim WhatsApp nalogom kroz proces uparivanja uređaja. Ovo daje napadaču trajan pristup nalogu čak i nakon što je zlonamerni NPM paket uklonjen. Pristup ostaje sve dok žrtva ručno ne ukloni povezane uređaje iz WhatsApp podešavanja.
Koi Security izveštava da lotusbail koristi set od 27 beskonačnih petlji kako bi otežao debagovanje i analizu, što je verovatno razlog zbog kojeg je uspeo da prođe ispod radara toliko dugo.
Programerima koji su koristili ovaj paket se preporučuje da ga uklone sa sistema i provere svoj WhatsApp nalog za sumnjive povezane uređaje.
Koi Security naglašava da samo gledanje izvornog koda kako bi se pronašle zlonamerne linije nije dovoljno; programeri bi trebalo da prate ponašanje u realnom vremenu radi otkrivanja neočekivanih izlaznih veza ili aktivnosti tokom autentifikacionih tokova sa novim zavisnostima kako bi potvrdili njihovu sigurnost.