Atenție, utilizatori WhatsApp! Un program fals a pus în pericol mii de conturi
Un pachet software malițios descoperit
Un pachet software distribuit pe platforma npm, folosit de dezvoltatorii JavaScript, a fost identificat ca un instrument de acces neautorizat la conturile WhatsApp Web. Mii de utilizatori au descărcat această bibliotecă, crezând că este o unealtă oficială pentru automatizări, fără a bănui că include componente capabile să preia controlul asupra sesiunilor lor.
Prezentată ca un modul pentru WhatsApp Web API, biblioteca integra funcții ascunse care permiteau colectarea de date sensibile ale utilizatorilor.
Cum acționează pachetul malițios
Codul utilizat în acest modul provine dintr-un proiect open-source destinat dezvoltării de boți pentru WhatsApp. Sub numele „lotusbail”, pachetul oferea funcții de automatizare, dar în fundal captura tokenuri de autentificare, chei de sesiune și conținutul mesajelor. Traficul dintre utilizator și WhatsApp Web era interceptat, astfel că mesajele primite, mesajele trimise, fișierele multimedia și datele de autentificare erau copiate și trimise către serverele atacatorilor.
Pentru a evita detectarea, informațiile erau criptate cu un mecanism RSA modificat, ceea ce îngreuna identificarea activității suspecte.
Acces complet la cont prin asocierea unui dispozitiv extern
Una dintre cele mai grave funcții ale pachetului era capacitatea de a conecta un dispozitiv suplimentar la contul victimei. Modulul genera un cod scurt, utilizat de atacator pentru a-și asocia propriul dispozitiv la contul WhatsApp al utilizatorului, prin procedura oficială de „Linked Devices”. Procesul se desfășura în fundal, fără notificări vizibile, făcând accesul neautorizat greu de observat.
Cum se pot proteja utilizatorii
Experții în securitate recomandă următoarele măsuri:
- Verificarea periodică a dispozitivelor conectate la contul WhatsApp, din meniul „Setări”.
- Eliminarea imediată a oricărui dispozitiv necunoscut.
- Dezinstalarea pachetului malițios, dacă a fost utilizat în proiecte software.
- Ruperea manuală a sesiunilor asociate, deoarece simpla dezinstalare nu anulează accesul atacatorului.
Pachetul a fost activ timp de aproximativ șase luni și a fost descărcat de peste 56.000 de ori, indicând un număr semnificativ de conturi expuse.
Concluzie
Incidentul subliniază riscurile asociate cu utilizarea bibliotecilor open-source și importanța verificării atente a pachetelor instalate, având în vedere gravitatea consecințelor accesului neautorizat la mesaje și fișiere personale.
