- O pacote malicioso Lotusbail NPM sequestra contas do WhatsApp, roubando tokens, mensagens e contatos
- Os invasores vinculam seus dispositivos por meio do emparelhamento do WhatsApp, que persiste mesmo após a remoção dos pacotes
- O pacote teve mais de 56.000 downloads antes de ser descoberto; desenvolvedores pediram para verificar as fontes cuidadosamente
Os usuários do registro Node Package Manager (NPM) estão sendo alvo de malware que sequestra contas do WhatsApp, rouba mensagens e listas de contatos, alertaram especialistas.
Pesquisadores de segurança cibernética da Koi Security descobriram recentemente um fork do popular projeto Baileys WhiskeySockets, uma biblioteca TypeScript/JavaScript de código aberto que fornece uma API baseada em WebSocket para interagir com o protocolo Web do WhatsApp, permitindo que os desenvolvedores se conectem programaticamente ao WhatsApp como um dispositivo de assistência.
O fork malicioso chamado “Lotusbail” tem a mesma funcionalidade do projeto legítimo, mas também rouba tokens de autenticação e chaves de sessão do WhatsApp. Ele também intercepta e registra todas as mensagens, contatos, arquivos de mídia e outros documentos em um servidor de terceiros.
Assumindo contas do WhatsApp
“O pacote inclui um cliente WebSocket legítimo que se comunica com o WhatsApp. Cada mensagem que passa pelo seu aplicativo passa primeiro pelo invólucro do soquete do malware”, disse a Koi Security em seu relatório.
“Quando você autentica, o wrapper pega suas credenciais. Quando as mensagens chegam, ele as intercepta. Quando você envia mensagens, ele as registra.”
Mas talvez o mais preocupante seja o fato de o pacote vincular o dispositivo do invasor à conta do WhatsApp da vítima por meio do recurso de emparelhamento do aplicativo. Isso significa que mesmo que a vítima remova o pacote NPM malicioso, sua conta do WhatsApp permanecerá comprometida até que o link seja desconectado manualmente.
O malware esteve no NPM por pelo menos meio ano, período durante o qual acumulou mais de 56.000 downloads.
NPM é um dos registros públicos online mais populares do mundo de pacotes JavaScript publicados via npm. Ele permite que os desenvolvedores descubram, baixem e gerenciem pacotes privados e de código aberto usados em projetos Node.js e JavaScript.
Como tal, é constantemente bombardeado com todos os tipos de golpes e ataques de hack, desde bifurcações de projetos até typosquats. Por segurança, os desenvolvedores são aconselhados a ter cuidado ao baixar e executar qualquer coisa, incluindo projetos com milhares de downloads.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
