Ένα επικίνδυνο πακέτο npm με το όνομα “lotusbail” έχει κλέψει μηνύματα WhatsApp και δεδομένα χρηστών από χιλιάδες προγραμματιστές σε όλο τον κόσμο.
Το πακέτο, το οποίο έχει ληφθεί πάνω από 56.000 φορές, μεταμφιέζεται σε νόμιμη βιβλιοθήκη WhatsApp Web API ενώ εκτελείται κρυφά κακόβουλο λογισμικό στο παρασκήνιο.
Παρουσιάζεται ως μια διχάλα του αξιόπιστου πακέτου “@whiskeysockets/baileys”, καθιστώντας το να φαίνεται ασφαλές στους προγραμματιστές που χρειάζονται εργαλεία ενσωμάτωσης WhatsApp.
Το κακόβουλο λογισμικό είναι ιδιαίτερα επικίνδυνο επειδή στην πραγματικότητα λειτουργεί όπως διαφημίζεται. Σε αντίθεση με τα περισσότερα κακόβουλα πακέτα που σπάνε ή αποτυγχάνουν γρήγορα, το lotusbail προσφέρει πραγματική λειτουργικότητα για την αποστολή και λήψη μηνυμάτων WhatsApp.
Αυτή η έξυπνη προσέγγιση του επιτρέπει να περνάει αναθεωρήσεις κώδικα και να αναπτύσσεται σε συστήματα παραγωγής χωρίς να προκαλεί υποψίες. Οι προγραμματιστές το εγκαθιστούν, το δοκιμάζουν, βλέπουν ότι λειτουργεί και δεν αντιλαμβάνονται ποτέ την κλοπή που συμβαίνει στα παρασκήνια.
.webp.jpeg "Κακόβουλο πακέτο NPM με 56.000 λήψεις κλέβει μηνύματα WhatsApp")
Το πακέτο παρέμεινε ενεργό στο npm για έξι μήνες και ήταν ακόμα διαθέσιμο τη στιγμή της ανακάλυψης.
Κατά τη διάρκεια αυτής της περιόδου, συλλέγει αθόρυβα διακριτικά ελέγχου ταυτότητας, ιστορικά μηνυμάτων, λίστες επαφών, αρχεία πολυμέσων και διατηρεί σταθερή πρόσβαση σε κερκόπορτα σε μολυσμένους λογαριασμούς WhatsApp.
Koi αναλυτές αναγνωρισθείς την εξελιγμένη καμπάνια κακόβουλου λογισμικού μετά τον εντοπισμό ασυνήθιστων μοτίβων συμπεριφοράς κατά την ανάλυση χρόνου εκτέλεσης του πακέτου.
Οι κλεμμένες πληροφορίες περιλαμβάνουν πλήρη κλειδιά συνεδρίας WhatsApp, όλα τα προηγούμενα και παρόντα μηνύματα, πλήρεις καταλόγους επαφών με αριθμούς τηλεφώνου και τυχόν πολυμέσα ή έγγραφα που κοινοποιούνται μέσω της εφαρμογής.
Το κακόβουλο λογισμικό συλλαμβάνει αυτά τα δεδομένα τυλίγοντας το νόμιμο πρόγραμμα-πελάτη WebSocket που συνδέεται με διακομιστές WhatsApp, δημιουργώντας ουσιαστικά μια επίθεση man-in-the-middle που αντιγράφει όλα όσα περνούν από τη σύνδεση.
Μηχανισμός κλοπής δεδομένων και κρυπτογράφησης
Το κακόβουλο λογισμικό χρησιμοποιεί ένα προσαρμοσμένο σύστημα κρυπτογράφησης RSA για να κρύψει τα κλεμμένα δεδομένα πριν τα στείλει στον διακομιστή του εισβολέα.
.webp.jpeg "Κακόβουλο πακέτο NPM με 56.000 λήψεις κλέβει μηνύματα WhatsApp")
Αυτή είναι μια σημαντική κόκκινη σημαία επειδή οι νόμιμες βιβλιοθήκες WhatsApp δεν χρειάζονται ποτέ πρόσθετη κρυπτογράφηση, καθώς το WhatsApp παρέχει ήδη κρυπτογράφηση από άκρο σε άκρο.
Το προσαρμοσμένο επίπεδο κρυπτογράφησης υπάρχει αποκλειστικά για την κρυπτογράφηση κλεμμένων δεδομένων, ώστε τα εργαλεία παρακολούθησης δικτύου να μην μπορούν να ανιχνεύσουν την κλοπή.
Η διεύθυνση διακομιστή exfiltration είναι κρυμμένη μέσω τεσσάρων επιπέδων προστασίας: χειρισμός μεταβλητών Unicode, συμπίεση LZString, κωδικοποίηση Base-91 και κρυπτογράφηση AES.
.webp.png "Κακόβουλο πακέτο NPM με 56.000 λήψεις κλέβει μηνύματα WhatsApp")
Αυτό καθιστά εξαιρετικά δύσκολο τον εντοπισμό πού αποστέλλονται τα κλεμμένα δεδομένα. Το κακόβουλο λογισμικό παραβιάζει επίσης το σύστημα σύζευξης συσκευών του WhatsApp χρησιμοποιώντας έναν σκληρό κώδικα σύζευξης κρυπτογραφημένο με AES.
Αυτό σημαίνει ότι ο εισβολέας μπορεί να συνδέσει τη δική του συσκευή με λογαριασμούς θυμάτων, δίνοντάς τους πλήρη έλεγχο ακόμα και μετά την αφαίρεση του κακόβουλου πακέτου από το σύστημα.
Για να αποφευχθεί ο εντοπισμός, το πακέτο περιλαμβάνει 27 παγίδες άπειρου βρόχου που ενεργοποιούνται όταν υπάρχουν εργαλεία εντοπισμού σφαλμάτων, καθιστώντας την ανάλυση εξαιρετικά δύσκολη για τους ερευνητές ασφάλειας.
Related Posts
Το κακόβουλο πακέτο npm κλέβει λογαριασμούς και μηνύματα WhatsApp
Το κακόβουλο λογισμικό Sturnus Banking κλέβει τις επικοινωνίες από το Signal και το WhatsApp, αποκτώντας τον πλήρη έλεγχο της συσκευής
Το Metasploit προσθέτει μονάδα εκμετάλλευσης για ευπάθειες 0-ημέρας του FortiWeb που αποκαλύφθηκαν πρόσφατα
