Pachetul malițios npm, aflat pe platforma Node Package Manager, se prezintă ca o bibliotecă pentru WhatsApp Web API, dar conține funcții ascunse de spionaj, conform raportului El Economista. În ultimele săptămâni, cercetătorii de la Koi Security au confirmat că drn‑lotusbail a fost descărcat de peste 56 000 de utilizatori.
cum funcționează pachetul malițios al whatsapp
Codul reprezintă o bifurcație a proiectului WhiskeySockets Baileys, utilizat în mod normal pentru boţi și automatizări pe WhatsApp Web. Versiunea publicată sub numele „lotusbail” adaugă module de interceptare a token‑urilor de autentificare și a cheilor de sesiune.
mesajele sunt interceptate fără ca utilizatorul să știe
Pachetul compromite clientul WebSocket legitim, capturând toate mesajele înainte de procesare. Atacatorii înregistrează atât mesajele primite, cât și pe cele trimise, păstrând funcționalitatea aparentă a bibliotecii.
cum poate fi preluat controlul asupra contului
O funcție ascunsă permite asocierea unui dispozitiv extern cu contul victimei, folosind mecanismul oficial de asociere. Codul generează o secvență aleatoare de 8 caractere, introdusă pe telefonul atacatorului, și deturnează procesul de verificare.
măsuri de protecție împotriva pachetului malițios npm
- Verifică periodic lista de dispozitive asociate în setările WhatsApp.
- Dezactivează imediat orice dispozitiv necunoscut.
- Desinstalează pachetul npm lotusbail și revizuiește dependențele proiectului.
- Schimbă token‑urile de autentificare și revocă sesiunile active.
impactul și evoluția amenințării npm security
Pachetul periculos a fost activ aproximativ șase luni și a fost instalat de mii de dezvoltatori fără să-și dea seama de riscuri. Decriptarea datelor se realizează printr-un mecanism RSA personalizat, pentru a evita detectarea de către sistemele de monitorizare a rețelei.
Păstrarea informațiilor actualizate și monitorizarea constantă a dependențelor npm reprezintă pași esențiali pentru a preveni intrările neautorizate în conturile WhatsApp. Continuitatea informării și verificarea periodică a setărilor de securitate reduc semnificativ expunerea la acest tip de amenințare.
