Pachetul malițios npm, distribuit prin Node Package Manager, pretinde a fi o bibliotecă legitimă pentru WhatsApp Web API, dar conține funcții de spionaj și furt de date, conform raportului Koi Security citat de El Economista. Descoperirea a generat preocupări majore în rândul dezvoltatorilor JavaScript și al utilizatorilor WhatsApp.
Cum funcționează pachetul malițios al WhatsApp
Codul este o bifurcație a proiectului Baileys, folosit în mod obișnuit pentru crearea de boți pe WhatsApp Web. Publicat sub numele „lotusbail”, pachetul malițios npm oferă, pe lângă funcțiile declarate, acces la tokenurile de autentificare și cheile de sesiune WhatsApp.
În plus, interceptează mesajele și fișierele multimedia, trimițându-le către un server controlat de atacatori printr-un canal criptat RSA.
Mesaje interceptate fără ca utilizatorul să știe
Pachetul malițios npm modifică clientul WebSocket legitim care comunică cu WhatsApp. Astfel, fiecare mesaj este capturat înainte de procesarea în aplicație.
„Când te autentifici, containerul capturează datele; când sosesc mesaje, le înregistrează; când trimiți, le redirecționează”, explică experții în securitate.
Datele furate sunt criptate cu RSA personalizat, pentru a evita detectarea de către sistemele de monitorizare a rețelei.
Control total asupra contului WhatsApp
Malware-ul adaugă un al doilea destinatar la fiecare comunicare, permițând atacatorilor acces neautorizat.
Printr-un cod preconfigurat, pachetul generează o secvență aleatorie de 8 caractere, asociată device-ului atacatorului.
Acest mecanism permite control complet al contului, fără alertarea utilizatorului.
Ce trebuie să faci pentru a te proteja
- Verifică periodic lista de dispozitive asociate în setările WhatsApp.
- Dezactivează imediat orice dispozitiv necunoscut.
- Elimină pachetul malițios npm din proiecte și rulează “npm audit” pentru a detecta dependențe vulnerabile.
- Regenerează tokenurile de autentificare și șterge sesiunile active din WhatsApp Web.
Pachetul malițios npm a fost descărcat peste 56.000 de ori în ultimele șase luni, iar dezinstalarea nu rupe automat legătura cu dispozitivul atacatorului, necesitând intervenție manuală.
Utilizarea regulată a instrumentelor de securitate npm și monitorizarea dispozitivelor WhatsApp rămân esențiale pentru a contracara amenințările din ecosistemul JavaScript.
