Výzkumníci v oblasti kybernetické bezpečnosti odhalili podrobnosti o novém škodlivém balíčku v repozitáři npm, který funguje jako plně funkční WhatsApp API, ale zároveň obsahuje schopnost zachytávat každou zprávu a propojit zařízení útočníka s WhatsApp účtem oběti.

Balíček s názvem „lotusbail“ byl stažen více než 56 000krát od prvního nahrání do registru uživatelem s přezdívkou „seiren_primrose“ v květnu 2025. Z tohoto počtu proběhlo 711 stažení během posledního týdne. Knihovna je v době psaní tohoto článku stále dostupná ke stažení.

Pod rouškou funkčního nástroje malware „krade vaše přihlašovací údaje k WhatsApp, zachycuje každou zprávu, sbírá vaše kontakty, instaluje trvalý zadní vrátka a vše šifruje před odesláním na server útočníka,“ uvedl výzkumník společnosti Koi Security Tuval Admoni ve zprávě zveřejněné o víkendu.

Konkrétně je vybaven k zachycení autentizačních tokenů a klíčů relací, historie zpráv, seznamů kontaktů s telefonními čísly, stejně jako mediálních souborů a dokumentů. Ještě významněji je knihovna inspirována @whiskeysockets/baileys, legitimní TypeScript knihovnou založenou na WebSockets pro interakci s WhatsApp Web API.

Jak útok funguje

To je dosaženo prostřednictvím škodlivého WebSocket wrapperu, kterým jsou směrovány autentizační informace a zprávy, což umožňuje zachytávat přihlašovací údaje a konverzace. Ukradená data jsou přenášena na URL kontrolovanou útočníkem v šifrované podobě.

Útok zde nekončí, protože balíček také skrývá skrytou funkčnost pro vytvoření trvalého přístupu k WhatsApp účtu oběti tím, že unesme proces propojení zařízení pomocí pevně zakódovaného párovacího kódu.

„Když použijete tuto knihovnu k autentizaci, nepropojujete pouze svou aplikaci — propojujete také zařízení útočníka,“ řekl Admoni. „Mají kompletní, trvalý přístup k vašemu WhatsApp účtu a vy nemáte tušení, že tam jsou.“

Propojením jejich zařízení s WhatsApp cíle to nejen umožňuje pokračující přístup k jejich kontaktům a konverzacím, ale také umožňuje trvalý přístup i po odinstalování balíčku ze systému, protože zařízení útočníka zůstává propojeno s WhatsApp účtem, dokud není odpojeno přechodem do nastavení aplikace.

Idan Dardikman z Koi Security řekl The Hacker News, že škodlivá aktivita je spuštěna, když vývojář použije knihovnu k připojení k WhatsApp. „Malware obaluje WebSocket klienta, takže jakmile se autentizujete a začnete odesílat/přijímat zprávy, zachycení se aktivuje,“ řekl Dardikman. „Není potřeba žádná speciální funkce kromě normálního použití API. Párovací kód zadních vrátek se také aktivuje během autentizačního toku – takže zařízení útočníka se propojí v okamžiku, kdy připojíte svou aplikaci k WhatsApp.“

Kromě toho je „lotusbail“ vybaven schopnostmi proti ladění, které způsobují, že vstoupí do nekonečné smyčky, když jsou detekovány ladicí nástroje, což způsobí zmrazení provádění.

„Útoky na dodavatelský řetězec nezpomalují – zlepšují se,“ uvedla společnost Koi. „Tradiční zabezpečení to nezachytí. Statická analýza vidí fungující WhatsApp kód a schválí ho. Systémy reputace viděly 56 000 stažení a důvěřují mu. Malware se skrývá v mezeře mezi ‚tento kód funguje‘ a ‚tento kód dělá pouze to, co tvrdí‘.“

Škodlivé balíčky NuGet zaměřené na kryptoekosystém

Odhalení přichází poté, co ReversingLabs sdílela podrobnosti o 14 škodlivých balíčcích NuGet, které se vydávají za Nethereum, .NET integrační knihovnu pro decentralizovaný blockchain Ethereum, a další nástroje související s kryptoměnami, aby přesměrovaly prostředky z transakcí do peněženek kontrolovaných útočníky, když částka převodu přesáhla 100 dolarů, nebo exfiltrovaly soukromé klíče a seed fráze.

Balíčky využily několik technik k ukolébání uživatelů do falešného pocitu důvěry v bezpečnost, včetně nafukování počtu stažení a publikování desítek nových verzí v krátkém čase, aby vytvořily dojem, že jsou aktivně udržovány. Kampaň sahá až do července 2025.

Škodlivá funkčnost je vložena tak, že je spuštěna pouze tehdy, když jsou balíčky nainstalovány vývojáři a specifické funkce jsou vloženy do jiných aplikací. Mezi balíčky vyniká GoogleAds.API, který se zaměřuje na krádež OAuth informací Google Ads místo exfiltrace tajemství dat peněženky.

„Tyto hodnoty jsou vysoce citlivé, protože umožňují plný programový přístup k účtu Google Ads a pokud uniknou, útočníci mohou vydávat se za reklamního klienta oběti, číst všechna data kampaní a výkonu, vytvářet nebo upravovat reklamy a dokonce utrácet neomezené prostředky na škodlivou nebo podvodnou kampaň,“ uvedla společnost ReversingLabs.

Zdroj: thehackernews.com