Un pachet periculos folosit pentru spionaj digital a fost identificat recent în cadrul platformei Node Package Manager (npm), cea mai utilizată pentru distribuirea bibliotecilor și modulelor în ecosistemul JavaScript. Deși pare a fi o bibliotecă legitimă pentru integrarea WhatsApp Web API, acest pachet ascunde, de fapt, funcții de interceptare și control al conversațiilor utilizatorilor, ceea ce ridică semne de întrebare legate de securitatea și confidențialitatea datelor personale.
Un instrument de tip “legt” pentru controlul WhatsApp
Cunoscut sub denumirea de „lotusbail”, acest pachet malware – o bifurcație a proiectului WhiskeySockets Baileys, folosit în mod obișnuit pentru crearea de boți și automatizări în WhatsApp Web – a fost descoperit de cercetătorii de securitate de la Koi Security. La prima vedere, pachetul pare a fi o bibliotecă pentru facilitarea automatizărilor și integrarea în platforma de mesagerie, însă, în realitate, conține o serie de funcționalități ascunse, menite să pună în pericol intimitatea utilizatorilor.
Aceasta include furtul tokenurilor de autentificare și a cheilor de sesiune, interceptarea mesajelor și accesul complet la conținutul conversațiilor. Astfel, un atacator care a reușit să instaleze această bibliotecă poate vedea în timp real, fără știrea utilizatorului, tot ceea ce se discută sau trimite prin WhatsApp Web. O caracteristică extrem de gravă, având în vedere că funcțiile malefice continuă să ruleze în fundal, în timp ce clientul WhatsApp normal funcționează, explică specialiștii în securitate.
Interceptarea mesajelor și controlul complet al contului
Una dintre cele mai alarmante descoperiri legate de acest pachet depășește simpla interceptare de mesaje. Cercetătorii au explicat că, odată instalat și activat, malware-ul poate captura toate datele de autentificare și poate crea o legătură cu un dispozitiv extern folosind mecanisme oficiale de asociere. Descoperirea constă în generarea unei secvențe de 8 caractere, pe care atacatorii o introduc într-un dispozitiv controlat de ei, deturnând procesul de asociere obișnuit, astfel încât să poată controla contul WhatsApp victimă în mod aproape invizibil.
Această metodă permite nu doar citirea mesajelor și accesul la fișiere media, ci și activarea funcției de control total asupra contului, ceea ce înseamnă că utilizatorul nu mai are control asupra conversațiilor sale. În plus, datale furate sunt criptate cu o implementare RSA personalizată înainte de a fi trimise atacatorilor, pentru a evita detectarea în sistemele de monitorizare a traficului de rețea.
Ce trebuie să faci pentru a te proteja
Specialiștii în securitate recomandă verificarea regulată a dispozitivelor conectate la contul de WhatsApp, din meniul „Setări”, pentru a identifica eventuale dispozitive necunoscute. În cazul în care apare un dispozitiv suspect, acesta trebuie deconectat immediat, pentru a evita ca atacatorii să beneficieze în continuare de accesul la conversații.
Deși pachetul malițios a fost activ de aproximativ șase luni și a fost descărcat de peste 56.000 de ori, mulți utilizatori pot fi încă expuși, mai ales dacă nu își verifică periodic sesiunile active. Eliminarea modulului malware trebuie făcută manual, deoarece dezinstalarea nu răcește automat legătura cu dispozitivul controlat de infractori.
Perspectiva pe termen mediu continuă să fie una alarmantă, mai ales în contextul în care cybercriminali și hackeri devin tot mai sofisticați în metodele lor. Este esențial ca utilizatorii de WhatsApp să fie vigilenți și să adopte măsuri de securitate pentru a nu deveni victime ale unor atacuri care pot compromite intimitatea și securitatea digitală. În acest moment, autoritățile de securitate și companiile de tehnologie trebuie să colaboreze pentru a dezvolta soluții eficiente de detectare și prevenire a astfel de amenințări invizibile.
