Ένα κακόβουλο πακέτο στο μητρώο του Node Package Manager (NPM) παρουσιάζεται ως νόμιμη βιβλιοθήκη WhatsApp Web API για την κλοπή μηνυμάτων WhatsApp, τη συλλογή επαφών και την πρόσβαση στον λογαριασμό.
Μια διχάλα του δημοφιλούς έργου WhiskeySockets Baileys, το κακόβουλο πακέτο παρέχει τη νόμιμη λειτουργικότητα. Ήταν διαθέσιμο στο npm που δημοσιεύτηκε με το όνομα lotusbail για τουλάχιστον έξι μήνες και έχει συγκεντρώσει περισσότερες από 56.000 λήψεις.
Ο
Πηγή: BleepingComputer
Ερευνητές της εταιρείας ασφαλείας εφοδιαστικής αλυσίδας Koi Security ανακάλυψαν το κακόβουλο πακέτο και διαπίστωσαν ότι θα μπορούσε να κλέψει τα κουπόνια ελέγχου ταυτότητας WhatsApp και τα κλειδιά συνεδρίας, να υποκλέψει και να καταγράψει όλα τα μηνύματα – τόσο σταλμένα όσο και ληφθέντα, και να διεισδύσει σε λίστες επαφών, αρχεία πολυμέσων και έγγραφα.
“Το πακέτο τυλίγει το νόμιμο πρόγραμμα-πελάτη WebSocket που επικοινωνεί με το WhatsApp. Κάθε μήνυμα που ρέει μέσω της εφαρμογής σας περνά πρώτα από το περιτύλιγμα υποδοχής του κακόβουλου λογισμικού”, οι ερευνητές εξηγώ.
“Όταν κάνετε έλεγχο ταυτότητας, το περιτύλιγμα καταγράφει τα διαπιστευτήριά σας. Όταν φτάνουν μηνύματα, τα παρεμποδίζει. Όταν στέλνετε μηνύματα, τα καταγράφει.”
Πηγή: Koi Security
Οι πληροφορίες που συλλέγονται κρυπτογραφούνται με μια προσαρμοσμένη εφαρμογή RSA και πολλαπλά επίπεδα συσκότισης, όπως κόλπα Unicode, συμπίεση LZString και κρυπτογράφηση AES πριν από την εξαγωγή.
Εκτός από τη δραστηριότητα κλοπής δεδομένων, το κακόβουλο πακέτο διαθέτει επίσης κώδικα που συνδέει τη συσκευή του εισβολέα με τον λογαριασμό WhatsApp του θύματος μέσω της διαδικασίας σύζευξης συσκευών.
Αυτό παρέχει στον εισβολέα μόνιμη πρόσβαση στον λογαριασμό ακόμα και μετά την κατάργηση του κακόβουλου πακέτου NPM. Η πρόσβαση παραμένει έως ότου το θύμα αφαιρέσει με μη αυτόματο τρόπο τις συνδεδεμένες συσκευές από τις ρυθμίσεις του WhatsApp.
Πηγή: Koi Security
Το Koi Security αναφέρει ότι lotusbail χρησιμοποιεί ένα σύνολο 27 παγίδων άπειρου βρόχου για να κάνει τον εντοπισμό σφαλμάτων και την ανάλυση πιο δύσκολη, κάτι που είναι πιθανό να έχει καταφέρει να πετάξει κάτω από το ραντάρ για τόσο μεγάλο χρονικό διάστημα.
Συνιστάται στους προγραμματιστές που χρησιμοποίησαν το πακέτο να το αφαιρέσουν από το σύστημα και να ελέγξουν τον λογαριασμό τους WhatsApp για απατεώνες συνδεδεμένες συσκευές.
Η Koi Security τονίζει ότι η αναζήτηση στον πηγαίο κώδικα για την εύρεση των κακόβουλων γραμμών δεν είναι αρκετή. Οι προγραμματιστές θα πρέπει να παρακολουθούν τη συμπεριφορά χρόνου εκτέλεσης για απροσδόκητες εξερχόμενες συνδέσεις ή δραστηριότητα κατά τη διάρκεια ροών ελέγχου ταυτότητας με νέες εξαρτήσεις για να επικυρώσουν την ασφάλειά τους.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
