В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены - «Новости» » Интернет технологии
sitename
Разработчики WhatsApp заявили, что будут бороться за российских пользователей - «Новости»
Разработчики WhatsApp заявили, что будут бороться за российских пользователей - «Новости»
 Пользователи подали в суд на Роскомнадзор и Минцифры из-за ограничения звонков в WhatsApp и Telegram - «Новости»
Пользователи подали в суд на Роскомнадзор и Минцифры из-за ограничения звонков в WhatsApp и Telegram - «Новости»
 В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены - «Новости»
В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены - «Новости»
 Два вредоносных расширения для Chrome крадут данные - «Новости»
Два вредоносных расширения для Chrome крадут данные - «Новости»
 Обнаружены новые версии Android-трояна Mamont, которые распространяются через домовые чаты - «Новости»
Обнаружены новые версии Android-трояна Mamont, которые распространяются через домовые чаты - «Новости»
 Samsung показала первый в мире монитор с частотой 1040 Гц, а также 6K-модель с 3D без очков - «Новости сети»
Samsung показала первый в мире монитор с частотой 1040 Гц, а также 6K-модель с 3D без очков - «Новости сети»
 Десять экс-сотрудников Samsung арестованы за кражу технологий DRAM 10-нм класса для Китая - «Новости сети»
Десять экс-сотрудников Samsung арестованы за кражу технологий DRAM 10-нм класса для Китая - «Новости сети»
 В Китае запретят сэкстинг — откровенный контент в личных переписках окажется вне закона - «Новости сети»
В Китае запретят сэкстинг — откровенный контент в личных переписках окажется вне закона - «Новости сети»
 Производители готовы свернуть выпуск SATA-накопителей: покупатели всё чаще выбирают внешние SSD - «Новости сети»
Производители готовы свернуть выпуск SATA-накопителей: покупатели всё чаще выбирают внешние SSD - «Новости сети»
 Галактический масштаб, никаких экранов загрузки и невероятный уровень погружения: новые детали сюжетного боевика Squadron 42 во вселенной Star Citizen - «Новости сети»
Галактический масштаб, никаких экранов загрузки и невероятный уровень погружения: новые детали сюжетного боевика Squadron 42 во вселенной Star Citizen - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены - «Новости»

✔В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены - «Новости»

25 декабря 2025 0 Новости / Изображения / Вёрстка / Списки / Преимущества стилей / Добавления стилей 0

В репозитории npm обнаружили вредоносный пакет, маскирующийся под легитимную библиотеку для работы с WhatsApp Web API. Малварь похищала переписку пользователей, выгружала контакты и давала атакующим доступ к аккаунтам жертв.


Пакет lotusbail — форк популярного проекта WhiskeySockets Baileys — существовал в репозитории минимум полгода и набрал свыше 56 000 загрузок. При этом он действительно предоставлял заявленную функциональность, что помогало ему оставаться незамеченным.





Специалисты из компании Koi Security, обнаружившие угрозу, пишут, что малварь похищала токены аутентификации WhatsApp и ключи сессий, перехватывала все входящие и исходящие сообщения, а также выгружала списки контактов, медиафайлы и документы.


«Пакет оборачивает легитимный WebSocket-клиент, который взаимодействует с WhatsApp. В результате каждое сообщение, проходящее через приложение, сначала попадает во враппер малвари, — объясняют исследователи. — Когда пользователь проходит аутентификацию, враппер перехватывает учетные данные. Когда приходят сообщения — он их считывает. Когда пользователь отправляет сообщения — он их записывает».


Украденные данные шифровались с помощью кастомной реализации RSA и нескольких слоев обфускации: манипуляции Unicode, сжатие LZString и шифрования AES. После этого информация уходила на серверы атакующих.


Помимо кражи данных, lotusbail мог привязывать устройство злоумышленника к WhatsApp-аккаунту жертвы через механизм сопряжения девайсов. Это давало атакующим постоянный доступ даже после удаления вредоносного пакета (до тех пор, пока пользователь вручную не отвяжет чужое устройство в настройках мессенджера).


По данным исследователей, в коде lotusbail использовались 27 разных ловушек с бесконечными циклами, которые сильно усложняли анализ малвари. Вероятно, именно это помогло вредоносу так долго оставаться незамеченным.


Разработчикам, которые использовали вредоносный пакет, рекомендуется как можно скорее удалить его из системы и проверить свои WhatsApp-аккаунты на наличие привязанных посторонних устройств.


Эксперты Koi Security подчеркивают: простого изучения исходного кода недостаточно, чтобы выявить подобные угрозы. Нужно отслеживать поведение приложения в рантайме, анализировать подозрительные исходящие соединения и активность во время процессов аутентификации при добавлении новых зависимостей.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В репозитории npm обнаружили вредоносный пакет, маскирующийся под легитимную библиотеку для работы с WhatsApp Web API. Малварь похищала переписку пользователей, выгружала контакты и давала атакующим доступ к аккаунтам жертв. Пакет lotusbail — форк популярного проекта WhiskeySockets Baileys — существовал в репозитории минимум полгода и набрал свыше 56 000 загрузок. При этом он действительно предоставлял заявленную функциональность, что помогало ему оставаться незамеченным. Специалисты из компании Koi Security, обнаружившие угрозу, пишут, что малварь похищала токены аутентификации WhatsApp и ключи сессий, перехватывала все входящие и исходящие сообщения, а также выгружала списки контактов, медиафайлы и документы. «Пакет оборачивает легитимный WebSocket-клиент, который взаимодействует с WhatsApp. В результате каждое сообщение, проходящее через приложение, сначала попадает во враппер малвари, — объясняют исследователи. — Когда пользователь проходит аутентификацию, враппер перехватывает учетные данные. Когда приходят сообщения — он их считывает. Когда пользователь отправляет сообщения — он их записывает». Украденные данные шифровались с помощью кастомной реализации RSA и нескольких слоев обфускации: манипуляции Unicode, сжатие LZString и шифрования AES. После этого информация уходила на серверы атакующих. Помимо кражи данных, lotusbail мог привязывать устройство злоумышленника к WhatsApp-аккаунту жертвы через механизм сопряжения девайсов. Это давало атакующим постоянный доступ даже после удаления вредоносного пакета (до тех пор, пока пользователь вручную не отвяжет чужое устройство в настройках мессенджера). По данным исследователей, в коде lotusbail использовались 27 разных ловушек с бесконечными циклами, которые сильно усложняли анализ малвари. Вероятно, именно это помогло вредоносу так долго оставаться незамеченным. Разработчикам, которые использовали вредоносный пакет, рекомендуется как можно скорее удалить его из системы и проверить свои WhatsApp-аккаунты на наличие привязанных посторонних устройств. Эксперты Koi Security подчеркивают: простого изучения исходного кода недостаточно, чтобы выявить подобные угрозы. Нужно отслеживать поведение приложения в рантайме, анализировать подозрительные исходящие соединения и активность во время процессов аутентификации при добавлении новых зависимостей.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: