Лажен WhatsApp API пакет на npm краде пораки, контакти и токени за најава

Истражувачи за сајбер-безбедност објавија детали за нов злонамерен пакет на npm репозиториумот кој функционира како целосно оперативен WhatsApp API, но истовремено има можност да ја пресретне секоја порака и да го поврзе уредот на напаѓачот со WhatsApp сметката на жртвата.

Пакетот, наречен „lotusbail“, е преземен повеќе од 56.000 пати откако првпат беше објавен во регистарот од корисник со име „seiren_primrose“ во мај 2025 година. Од нив, 711 преземања се случиле во последната недела. Библиотеката сè уште е достапна за преземање во моментот на пишување.

Под превезот на функционална алатка, малициозниот софтвер „ти ги краде WhatsApp креденцијалите, ја пресретнува секоја порака, ги собира твоите контакти, инсталира постојан бекдор и сè шифрира пред да го испрати до серверот на напаѓачот,“ изјави истражувачот од Koi Security, Тувал Адмони, во извештај објавен за време на викендот.

Поконкретно, пакетот е опремен да фаќа автентикациски токени и клучеви за сесија, историја на пораки, листи на контакти со телефонски броеви, како и медиумски фајлови и документи. Уште позначајно, библиотеката е инспирирана од @whiskeysockets/baileys, легитимна TypeScript библиотека базирана на WebSockets за интеракција со WhatsApp Web API.

Ова се постигнува преку злонамерен WebSocket wrapper, преку кој се рутираат информациите за автентикација и пораките, со што се овозможува нивно прислушување и кражба. Украдените податоци се пренесуваат до URL под контрола на напаѓачот, и тоа во шифрирана форма.

Нападот не завршува тука, бидејќи пакетот содржи и скриена функционалност за создавање постојан пристап до WhatsApp сметката на жртвата, преку киднапирање на процесот за поврзување уреди, користејќи вграден (hard-coded) код за спарување.

„Кога ја користиш оваа библиотека за автентикација, ти не го поврзуваш само твоето апликациско решение – туку и уредот на напаѓачот,“ рече Адмони. „Тие имаат целосен, постојан пристап до твојата WhatsApp сметка, а ти немаш поим дека се таму.“

Со поврзување на нивниот уред со WhatsApp сметката на целта, напаѓачите не само што добиваат континуиран пристап до контактите и разговорите, туку и постојан пристап дури и откако пакетот ќе се деинсталира од системот, бидејќи уредот на напаѓачот останува поврзан со WhatsApp сметката сè додека рачно не се отстрани преку поставките на апликацијата.

Идан Дардикман од Koi Security изјави за The Hacker News дека злонамерната активност се активира во моментот кога развивачот ја користи библиотеката за поврзување со WhatsApp.

„Малициозниот софтвер го обвиткува WebSocket клиентот, па штом ќе се автентицираш и ќе почнеш да испраќаш или примаш пораки, пресретнувањето започнува,“ рече Дардикман. „Не е потребна никаква посебна функција – доволно е нормално користење на API-то. Бекдор-кодот за спарување исто така се активира за време на процесот на автентикација, што значи дека уредот на напаѓачот се поврзува во моментот кога ја конектираш апликацијата со WhatsApp.“

Понатаму, „lotusbail“ има и анти-дебагинг способности кои го тераат да влезе во бесконечна јамка кога ќе се детектираат алатки за дебагирање, со што се замрзнува извршувањето.

„Нападите преку синџирот на снабдување не забавуваат – тие стануваат сè подобри,“ соопшти Koi. „Традиционалната безбедност не го фаќа ова. Статичката анализа гледа функционален WhatsApp код и го одобрува. Системите за репутација гледаат 56.000 преземања и му веруваат. Малициозниот софтвер се крие во празнината меѓу ‘овој код работи’ и ‘овој код го прави само она што тврди дека го прави’.“

Злонамерни NuGet пакети го таргетираат крипто екосистемот

Откритието доаѓа откако ReversingLabs сподели детали за 14 злонамерни NuGet пакети кои се претставуваат како Nethereum, .NET интеграциска библиотека за децентрализираната блокчејн мрежа Ethereum, како и други алатки поврзани со криптовалути, со цел пренасочување на средствата од трансакциите кон паричници под контрола на напаѓачите кога износот на трансферот надминува 100 долари, или кражба (екфилтрација) на приватни клучеви и seed фрази.

Имињата на пакетите, објавени од осум различни акаунти, се наведени подолу –

binance.csharp
bitcoincore
bybitapi.net
coinbase.net.api
googleads.api
nbitcoin.unified
nethereumnet
nethereumunified
netherеum.all
solananet
solnetall
solnetall.net
solnetplus
solnetunified

Пакетите користеле повеќе техники за да ги доведат корисниците во лажно чувство на безбедност и доверба, вклучувајќи вештачко зголемување на бројот на преземања и објавување десетици нови верзии за краток временски период, со цел да се создаде впечаток дека проектот активно се одржува. Кампањата датира уште од јули 2025 година.

Злонамерната функционалност е вметната така што се активира само кога пакетите ќе бидат инсталирани од развивачи и кога одредени функции ќе бидат вградени во други апликации. Посебно се издвојува пакетот GoogleAds.API, кој наместо кражба на тајни поврзани со крипто-паричници, е фокусиран на кражба на Google Ads OAuth информации.

„Овие вредности се исклучително чувствителни, бидејќи овозможуваат целосен програмски пристап до Google Ads сметка и, доколку протечат, напаѓачите можат да се претставуваат како рекламниот клиент на жртвата, да ги читаат сите податоци за кампањи и перформанси, да креираат или изменуваат реклами, па дури и да трошат неограничени средства на злонамерни или измамнички кампањи,“ соопшти ReversingLabs.

Извори:

• The Hacker News – Fake WhatsApp API Package on npm Steals Messages, Contacts, and Login Tokens The Hacker News