Нов зловреден софтуер за WhatsApp краде файлове и контакти чрез фалшива npm библиотека

  • Злонамерен npm пакет, маскиран като библиотека за WhatsApp Web, е откраднал съобщения, файлове и списъци с контакти.
  • Зловредният софтуер свързва устройството на нападателя с акаунта на жертвата в WhatsApp и поддържа достъп дори след изтриване на пакета.
  • Заплахата засяга предимно разработчици, използващи неофициални API, но също така излага на риск крайните потребители в Европа и Испания.
  • Прегледът на свързаните устройства, активирането на двуетапна проверка и избягването на неофициални инструменти са ключови за защитата на вашия акаунт.
Actualidad iPhone

11 Minutos

Зловреден софтуер в WhatsApp краде файлове и контакти

на Нямам търпение да извлека максимума от WhatsApp с допълнителни функции. Това продължава да кара много потребители и разработчици да изтеглят инструменти от външни официални канали. Проблемът е, че в тази сива зона на непроверени библиотеки и модифицирани приложения се промъкват все по-сложни заплахи, способни да крадат съобщения, контакти и дори лични документи, без да будят подозрение.

Най-скорошният пример е Зловреден софтуер за WhatsApp, който се маскира като легитимна библиотека в хранилището на npm (Node Package Manager). Под напълно функционален вид, този пакет е успял да свърже устройствата на нападателите с акаунтите на други хора в WhatsApp, да копира цели истории на чатове и да извлича файлове и идентификационни данни, което потенциално е засегнало потребители в Испания, Европа и останалата част от света.

Фалшив пакет от WhatsApp Web се ​​промъква в npm

Кампанията е идентифицирана от изследователи от Кои сигурност, който откри пакет, публикуван в npm и представен като API или библиотека за автоматизиране на WhatsApp WebПод имена като «Йотусбаил или «лотосбаил»Кодът беше маскиран като разклонение (fork) на добре познатия проект. Уиски Сокетс Бейлис, широко използван от разработчиците за създаване на ботове, интеграции и инструменти за автоматизация с уеб протокола WhatsApp.

На хартия книжарницата изглеждаше легитимна: Това ви позволяваше да се свързвате с WhatsApp Web, да изпращате и получавате съобщения и да управлява сесиите подобно на оригиналната версия. Тази видимост на нормалност накара хиляди разработчици да го интегрират в своите проекти, без да подозират, че на заден план той прихваща целия трафик, преминаващ през връзката.

Според анализа на Koi Security, злонамереният пакет легитимният WebSocket клиент беше замесен използва се за комуникация със сървърите на WhatsApp. По този начин, всяко съобщение, файл или данни за удостоверяване който циркулираше през приложението, първо премина през контейнера със зловреден софтуер, който го копираше и го изпращаше криптиран до сървър, контролиран от нападателите.

Заплахата не е изолиран случай: тя е част от нарастваща тенденция на атаки срещу веригата за доставки на софтуеркъдето киберпрестъпниците проникват в публични хранилища, като се възползват от доверието, генерирано от проекти с много изтегляния и имена, подобни на тези на популярни инструменти.

Зловреден софтуер в WhatsApp Web краде данни и контакти

Какви данни краде злонамереният софтуер в WhatsApp?

Поведението на злонамерения пакет е особено тревожно, защото обемът и чувствителността на информацията, която успява да извлече и възможността за трафик на лични данни.

  • Пълни списъци с контакти съхранявани в акаунта на WhatsApp.
  • Мултимедийни файлове споделени в чатове: снимки, видеоклипове и гласови бележки.
  • Изпратени или получени документи чрез приложението.
  • Токени за удостоверяване и ключове за сесия използва се за иницииране и поддържане на връзката.
  • Пълномощия и данни за вход свързан с уеб акаунта на WhatsApp.

На практика това означава, че нападателите могат възпроизвеждат дейността на жертвата почти в реално времечетене на разговори, изтегляне на файлове, проследяване на нови връзки на устройства и дори подготовка на други измами (като например представяне за контакти в работна или семейна среда, нещо много чувствително в Европа, където WhatsApp се използва масово в компании и администрации).

Експертите също така посочват, че зловредният софтуер включва персонализирани механизми за криптиране, като например използването на RSA, за да се направи така, че изтичането на данни да остане незабелязано от традиционните инструменти за наблюдение и решения за сигурност. Освен това, функциите против изчистване създават безкрайни цикли, когато се открие напреднал анализ, което допълнително усложнява задачата на разследващите. Научете повече за Последни новини за киберсигурността Помага да се контекстуализират тези методи.

Друг ключов аспект е неговата упоритостДори ако разработчикът или потребителят премахне npm пакета от проекта или системата, Акаунтът в WhatsApp все още може да е компрометиранПричината е, че по време на процеса на удостоверяване, злонамерената библиотека тихо свързва устройство, контролирано от нападателя сякаш е валидно допълнително устройство, както е позволено от функцията за множество устройства на WhatsApp.

Как устройството на нападателя е свързано с вашия акаунт

Най-критичният аспект на атаката се крие в това как пакетът експлоатира собствената функционалност на WhatsApp Web. Когато разработчик използва библиотеката, за да свърже приложението си с услугата, зловредният софтуер... въведете свой собствен WebSocket контейнер който контролира процеса на сдвояване.

По това време, Кодът улавя токена за удостоверяване, ключовете за сесия и кода за сдвояване. генерирани за вход. С тази информация, задната вратичка продължава към автоматично свързване на устройство, контролирано от нападатели към целевия акаунт, сякаш е допълнителен оторизиран компютър, таблет или браузър.

Тревожното е, че това Процесът не изисква никакви допълнителни действия от страна на потребителя Освен простото използване на привидно легитимния API, всичко изглежда работи нормално за разработчика. Въпреки това, на заден план, атакуващите вече имат постоянен достъп, който остава дори ако npm пакетът бъде изтрит или инструментът, който го е интегрирал, бъде деинсталиран.

Само ръчен преглед на раздела от „Свързани устройства“ в приложението WhatsApp Това ви позволява да откривате и отменяте тези скрити достъпи. Докато тези подозрителни устройства не бъдат прекъснати, нападателят запазва пълна видимост върху съобщенията и данните, свързани с акаунта.

Въздействие върху разработчиците, компаниите и потребителите в Европа

Въпреки че първоначалният фокус на атаката е върху общността на разработчиците, която използва npm, рискът е... ясен ефект на доминото върху крайните потребители и организациитеМного проекти, които интегрират библиотеки като Baileys, се използват в бизнес среда за управление на обслужването на клиенти, системи за известия или автоматизирани отговори чрез WhatsApp.

Ако разработчик в Испания или друга страна от Европейския съюз несъзнателно внедри злонамерен форк като Iotusbail или lotusbail, не само компрометира вашия собствен акаунтно също и тези на клиентите или потребителите, които взаимодействат с тази интеграция. В европейски контекст, където се прилага Общият регламент относно защитата на данните (GDPR), този тип изтичане на информация може да доведе до сериозни нарушения на поверителността и в санкции, ако не се управляват правилно.

Освен това, разчитането на WhatsApp като официален комуникационен канал в малките и средни предприятия, местния бизнес и дори публичните администрации в Испания означава, че Всяка атака срещу тази платформа има потенциално широко въздействие.От кражба на контакти с клиенти до кражба на споделени документи (фактури, оферти, отчети и др.), щетите са не само индивидуални, но и свързани с бизнеса.

Изследователите подчертават, че злонамереният пакет е бил достъпен в npm по време на около шест месеца, натрупвайки над 56 000 изтеглянияТази цифра, макар и да не показва колко акаунта в крайна сметка са били компрометирани, дава представа за обхвата, който атака от този тип може да има, когато проникне в инфраструктура, толкова широко използвана от разработчици по целия свят.

Как да разберете дали вашият WhatsApp акаунт е бил компрометиран

Да се ​​открие навреме дали някой е успял свързване на неоторизирано устройство Достъпът до вашия WhatsApp акаунт е от съществено значение за блокиране на неупълномощени потребители. Самата услуга предлага сравнително лесен начин за проверка на това, въпреки че много потребители го пренебрегват.

за проверете за натрапници В профила си можете да следвате тези стъпки, препоръчани от експерти по сигурността:

  1. отваря WhatsApp на мобилния ви телефон (Андроид или iPhone).
  2. Отидете в менюто "Настройки" или докоснете иконата с три точки в горния ъгъл.
  3. Влезте в раздела „Свързани устройства“.
  4. Проверете всяко устройство в списъка едно по едно и потвърдете, че разпознавате всички точки за достъп.
  5. Ако видите устройство, сесия или местоположение, което ви се струва непознато, излезте незабавно.

След извършване на тази проверка е препоръчително да се направи още малко: Променете паролата си за акаунт в Google или Apple свързан с мобилния телефон, активирайте проверка в две стъпки на WhatsApp и проверете дали е имало някаква необичайна активност в други услуги, където използвате същото устройство.

В случай на разработчици, които са инсталирали или използвали неофициални библиотеки, е препоръчително също одит на кода на проектаПремахнете подозрителни зависимости и, ако е необходимо, генерирайте отново API ключове и идентификационни данни, свързани с интеграции с клиенти или доставчици.

Защо продължаваме да се заражаваме със зловреден софтуер в WhatsApp?

Тази кампания подчертава модел, който се повтаря отново и отново: привлекателността на допълнителните функции и персонализирането Това е по-важно от благоразумието. Много потребители търсят модифицирани версии на WhatsApp, ботове, автоматизации или специални инструменти, които обещават да „отидат една крачка напред“ от оригиналното приложение, без да обръщат особено внимание на произхода на софтуера.

В този конкретен случай зловредният софтуер не използва директно техническа уязвимост в WhatsApp, а по-скоро човешка и процесна слабостДоверяването на библиотека на трета страна, само защото изглежда полезна и има голям брой изтегляния, е грешка. Същото важи и за приложения, изтеглени извън Google Play, App Store или официалните уебсайтове на разработчиците.

Нападателите са наясно с тази реалност и проектират кампаниите си така, че злонамерените инструменти са напълно функционалниС други думи, те правят това, което обещават (позволяват ботове, автоматизират съобщения, персонализират изживяването...), но добавят скрит слой код, който тихо краде данни. По този начин, Потребителят няма видима причина да не се доверява.защото инструментът „работи“.

Този подход придобива особено значение в Европа и Испания, където приемането на WhatsApp е масово сред всички възрастови групи. Комбинацията от висока употреба, доверие в платформата и ниска култура на технически преглед Инструментите на трети страни са идеалната среда за размножаване на този тип заплахи.

Най-добри практики за предотвратяване на кражбата на файлове и контакти от злонамерен софтуер

Намаляването на риска не изисква да сте експерт по киберсигурност, но изисква приемането на серия от основни и постоянни навициВ светлината на случилото се с този зловреден пакет в npm, специалистите по сигурността препоръчват да се вземат предвид няколко насоки.

  • Инсталирайте приложения само от официални магазиниЗа мобилни устройства използвайте Google Play Store, App Store или други проверени източници; за инструменти за разработчици, изтеглете ги от официалните хранилища на проекта и прегледайте документацията му.
  • Бъдете внимателни с „допълнителни“ или неофициални функцииОбещанията за екстремни персонализации, силно агресивни автоматизации или безпрецедентен достъп до вътрешни функции на WhatsApp често са входна врата за зловреден софтуер.
  • Поддържайте системата и приложенията си актуалниКакто мобилната операционна система, така и WhatsApp и другите приложения трябва да бъдат актуални, за да се намалят известните уязвимости.
  • Активирайте потвърждаването в две стъпки в WhatsApp и свързани акаунти (Google, Apple, имейл), за да се усложни неоторизиран достъп, дори ако пароли или токени бъдат изтекли.
  • Извършвайте криптирани резервни копия на най-чувствителните чатове и файлове, съхранявайки ги в надеждни услуги, така че евентуална инфекция да не означава пълна загуба на информация.
  • Консултирайте се с надеждни източници преди инсталиране нов инструмент: преглед на мнения, доклади за сигурност и, в случая с Европа, препоръки от организации и агенции, специализирани в киберсигурността.

За разработчиците списъкът се разширява с необходимостта от Одит на зависимости, избягвайте пакети от неизвестни авториПрегледайте подозрителни промени в имената и наблюдавайте поведението по време на изпълнение на библиотеки, които обработват чувствителни данни или потребителски идентификационни данни.

Какво се случи с това Зловреден софтуер за WhatsApp, който краде файлове, контакти и идентификационни данни Това показва до каква степен едно просто изтегляне може да отвори вратата за масивно изтичане на лична и професионална информация. Един на пръв поглед безобиден npm пакет е достатъчен, за да свърже устройствата на нападателите, да следи разговорите и непрекъснато да извлича данни, застрашавайки както отделни потребители, така и компании в Испания и останалата част от Европа. Изправени пред все по-открития дигитален пейзаж, комбинацията от предпазливост, постоянни актуализации и редовен преглед на устройствата, свързани с даден акаунт, се превърна в най-добрата защита за запазване на поверителността в WhatsApp.

Свързана статия:
Толкова е лесно да откраднеш акаунт в WhatsApp

Може да ви заинтересува:
Как да имате два WhatsApp на iPhone
Следвайте ни в Google Новини