MWC 2018
2018
Computex
IFA 2018
Эксперты по кибербезопасности из компании Koi Security обнаружили вредоносный npm-пакет Lotusbail, который позволяет подключаться к WhatsApp через API, но при этом негласно похищает данные для доступа к учётной записи жертвы и сканирует её переписку.
Источник изображения: koi.ai
Вредоносный пакет Lotusbail доступен для скачивания уже шесть месяцев, и за это время его загрузили более 56 тыс. раз. Программное решение по-настоящему опасно, потому что оно действительно выполняет заявленные недобросовестными разработчиками функциями, предоставляя API для доступа к WhatsApp. Пакет является форком, то есть ответвлением известной и безопасной библиотеки Baileys и позволяет отправлять и получать сообщения в WhatsApp.
В дополнение к заявленным функциям Lotusbail крадёт данные пользователей. Подключение к WhatsApp осуществляется через WebSocket — это значит, что все контакты с инфраструктурой мессенджера, включая учётные данные и содержимое, могут быть перехвачены злоумышленниками. Для шифрования данных используется собственная реализация RSA, которая дополняется четырьмя уровнями обфускации: манипуляциями Unicode, сжатием LZString, кодированием Base-91 и шифрованием AES — упакованная таким образом информация отправляется на сервер злоумышленников.
Наконец, в саму учётную запись WhatsApp жертвы через процесс сопряжения устройств в приложении чата внедряется бэкдор — в результате устанавливается связь между устройствами жертвы и злоумышленника. Это значит, что даже после удаления вредоносного npm-пакета устройство злоумышленника может сохранять связь с учётной записью ничего не подозревающего пользователя в WhatsApp.
Источник:
