Pachetul periculos npm a fost identificat în Node Package Manager, platformă utilizată de dezvoltatorii JavaScript pentru distribuirea de biblioteci. Acesta pretinde a fi o librărie oficială pentru WhatsApp Web API, dar conține funcții ascunse de spionaj, potrivit raportului El Economista și analizei Koi Security.
cum funcționează pachetul malițios al WhatsApp
Codul este o bifurcație a proiectului WhiskeySockets Baileys, folosit în mod normal pentru crearea de boți în WhatsApp Web. Publicat sub denumirea „lotusbail”, pachetul oferă, pe lângă funcționalitățile declarate, mecanisme de furt de tokenuri de autentificare și chei de sesiune WhatsApp.
mesajele sunt interceptate fără ca utilizatorul să știe
Pachetul alterează clientul WebSocket legitim, capturând toate mesajele înainte de procesare. Atunci când utilizatorul se autentifică, containerul înregistrează datele de autentificare; când mesajele sosesc, le interceptează; când sunt trimise, le copiează. Datele furate sunt criptate prin RSA personalizat și trimise către atacatori, evitând detectarea rețelei.
cum poate fi preluat controlul asupra contului
Funcția de asociere a dispozitivului permite atacatorilor să controleze complet contul WhatsApp al victimei. Se generează o secvență aleatorie de opt caractere, introdusă pe dispozitivul atacatorului, iar procesul de asociere este deturnat printr-un cod preconfigurat. Accesul la conversații devine invizibil pentru utilizator.
ce trebuie să faci pentru a te proteja
– Verifică periodic lista de dispozitive asociate contului WhatsApp, din secțiunea „Setări”.
– Elimină imediat orice dispozitiv necunoscut.
– Dezinstalează pachetul malițios din npm; descărcat de peste 56 000 de ori în ultimele șase luni.
– Rupe manual legătura cu dispozitivul atacatorului, deoarece dezinstalarea nu revocă accesul automat.
Protecția continuă împotriva pachetului periculos npm presupune monitorizarea constantă a dispozitivelor asociate și actualizarea regulată a dependențelor din mediul de dezvoltare.
