В Сети гуляет Lotusbail, который перехватывает сообщения и крадет аккаунты WhatsApp

Эксперты по кибербезопасности из компании Koi Security обнаружили вредоносный npm-пакет Lotusbail, который поражает WhatsApp через API. При этом этот пакет похищает данные для доступа к учётной записи жертвы и сканирует её переписку.

Вредоносный пакет Lotusbail доступен для скачивания уже шесть месяцев, и за это время его загрузили более 56 тыс. раз. Программное решение по-настоящему опасно, потому что оно действительно выполняет заявленные недобросовестными разработчиками функциями, предоставляя API для доступа к WhatsApp. Пакет является форком, то есть ответвлением известной и безопасной библиотеки Baileys и позволяет отправлять и получать сообщения в WhatsApp.

В дополнение к заявленным функциям Lotusbail крадёт данные пользователей. Подключение к WhatsApp осуществляется через WebSocket — это значит, что все контакты с инфраструктурой мессенджера, включая учётные данные и содержимое, могут быть перехвачены злоумышленниками.

Наконец, в саму учётную запись WhatsApp жертвы через процесс сопряжения устройств в приложении чата внедряется бэкдор. В результате устанавливается связь между устройствами жертвы и злоумышленника. Это значит, что даже после удаления вредоносного npm-пакета устройство злоумышленника может сохранять связь с учётной записью ничего не подозревающего пользователя в WhatsApp, сообщает 3dnews.ru.