- Škodlivý npm fork rozhrania Baileys WhatsApp Web API, publikovaný ako lotusbail, bol stiahnutý viac ako 56 000-krát.
- Balík obalí legitímneho klienta WebSocket, aby na pozadí ukradol tokeny, kľúče relácie, správy, kontakty a médiá.
- Útočníci potichu spárujú svoje vlastné zariadenie s účtom WhatsApp obete a zachovajú si prístup aj po odinštalovaní balíka.
- Výskumníci zo spoločnosti Koi Security naliehajú na vývojárov, aby skúmali závislosti npm a monitorovali správanie za behu systému s cieľom odhaliť útoky v dodávateľskom reťazci.
Zdanlivo neškodný Balík npm inzerovaný ako pomocník pre webové rozhranie WhatsApp bol prichytený pri tichom odčerpávaní chatov, kontaktov a prístupových údajov od nič netušiacich vývojárov a ich používateľov. Knižnica, publikovaná pod názvom „lotusbail“, zostal mesiace dostupný v oficiálnom registri npm a podarilo sa mu nazbierať viac ako 56 000 stiahnutí, kým sa podrobil vážnemu skúmaniu.
Podľa viacerých nezávislých článkov a podrobného vyšetrovania spoločnosti Bezpečnosť koi kaprovBalík sa na povrchu správa ako bežná sada automatizačných nástrojov WhatsApp, ale na pozadí... zachytáva každú správu, zhromažďuje údaje o účte a vytvára trvalé zadné vrátka k napadnutým účtom WhatsApp. Keďže škodlivé správanie je integrované do legitímnych funkcií, mnohé projekty ho mohli integrovať bez toho, aby si všimli niečo zjavne nesprávne.
Ako sa falošný balík WhatsApp Web API dostal do npm
Škodlivá knižnica sa objavila na npm okolo mája 2025 a nahral ju používateľ, ktorý sa náhodou „seiren_prvosika“ a je opísané ako pohodlné API na interakciu s WhatsApp Web. V podstate ide o fork populárneho open-source projektu @whiskeysockets/baileys, knižnica TypeScript/JavaScript, ktorá ponúka API založené na WebSockete na vytváranie botov a automatizácií nad WhatsApp Web.
Verným napodobňovaním Baileysovho verejného vystupovania a správania sa útočník zabezpečil, že vývojári mohli balík vložiť do existujúcich pracovných postupov s minimálnymi zmenamiDokumentácia a pomenovanie boli vytvorené tak, aby vyzerali legitímne, čím sa znížilo riziko, že by zaneprázdnené tímy spochybňovali ich pôvod, najmä vzhľadom na to, ako čísla používania NPM často slúžia ako ukazovateľ dôveryhodnosti.
Balík sa nahromadil približne za pol roka viac ako 56 000 inštalácií a stovky stiahnutí týždennePočas tohto obdobia zostal vyhľadávateľný a inštalovateľný z oficiálneho registra, čím sa v podstate stal tichou hrozbou pre dodávateľský reťazec pre akúkoľvek aplikáciu, ktorá integrovala funkcie WhatsApp prostredníctvom JavaScriptu.
Výskumníci zdôrazňujú, že nič v základnom procese publikovania npm nezabránilo tomuto nahrávaniu: Každý používateľ môže publikovať balík s profesionálne znejúcim názvom, skopírovať API známeho projektu a okamžite získať viditeľnosť. v ekosystéme. Práve túto realitu útočníci v tomto prípade využili.
Zneužívanie klienta WebSocket na zachytávanie údajov z WhatsAppu
Jadro útoku spočíva v tom, ako lotusbail obalí legitímneho klienta WebSocket, ktorý komunikuje s webovým protokolom WhatsAppuNamiesto vytvárania úplne nového rozhrania balík vkladá vlastný kontajner okolo štandardnej implementácie Baileys WebSocket, čo umožňuje, aby každá prichádzajúca a odchádzajúca správa najprv prešla cez malvér.
Analýza spoločnosti Koi Security vysvetľuje, že akonáhle sa vývojár overí vo WhatsApp prostredníctvom tejto knižnice, obal okamžite získa autentifikačné tokeny a kľúče relácieOd tohto bodu sa každá správa, ktorá prechádza cez pripojenie – prichádzajúca alebo odchádzajúca – transparentne zrkadlí do infraštruktúry útočníka.
Toto zrkadlenie presahuje rámec obyčajných textových chatov. Balík je navrhnutý tak, aby exfiltrovať históriu správ, zoznamy kontaktov a všetky priložené mediálne súbory, vrátane fotografií, videí, zvukových klipov a dokumentov. V skutočnosti klonuje konverzačné prostredie používateľa: s kým sa rozpráva, čo posiela a čo prijíma.
Dôležité je, že nič z toho nenarúša bežné správanie, ktoré vývojári očakávajú. Oficiálna funkcionalita stále funguje správne, boty naďalej reagujú, automatizácie bežia ako obvykle a relácie WhatsApp zostávajú stabilné. Malvér jednoducho pridáva to, čo jeden výskumník opísal ako „druhý, neviditeľný príjemca pre všetko“, čo robí odhalenie bežným pozorovaním mimoriadne nepravdepodobným.
Toto všetko sa spúšťa bežným používaním API. Obeť nemusí spúšťať ďalšie príkazy ani povoľovať špeciálne príznaky; autentifikácia a rutinná manipulácia so správami stačia na aktiváciu špionážnych funkcií, čo je jeden z dôvodov, prečo sa kampani darilo fungovať mesiace nepovšimnuto.
Nenápadný prístup cez zadné vrátka: párovanie zariadenia útočníka
Okrem krádeže údajov prináša lotusbail aj zákernejšiu schopnosť: nenápadne... spáruje zariadenie ovládané útočníkom s účtom obete na WhatsAppToto využíva rovnaký pracovný postup párovania viacerých zariadení, na ktorý sa spoliehajú legitímni používatelia na pripojenie ďalších telefónov alebo stolových počítačov k svojmu účtu.
Počas procesu prihlasovania malvér spúšťa skrytú párovaciu rutinu. Výskumníci uvádzajú, že kód generuje náhodný reťazec s ôsmimi znakmi a vkladá ho do mechanizmu prepojenia zariadení WhatsApp, čím sa zneužíva štandardný proces pomocou pevne naprogramovaného párovacieho toku vloženého do škodlivého balíka.
Po dokončení párovania sa útočníkovo zariadenie efektívne stane ďalším autorizovaným klientom cieľového účtu. Odvtedy... Útočníci môžu čítať a odosielať správy, prezerať si kontakty a pristupovať k médiám, akoby boli vlastníkmi účtu – a môžu to urobiť bez toho, aby sa spoliehali na prítomnosť pôvodného škodlivého balíka.
To je dôvod, prečo útok trvá. Aj keď vývojár, ktorý dbá na bezpečnosť zistí podozrivú závislosť a odstráni ju z projektu, kompromitácia sa automaticky nevráti späť. Škodlivý kód npm môže byť preč, ale prepojené zariadenie útočníka zostáva aktívne, kým nie je explicitne odstránené zo zoznamu dôveryhodných relácií WhatsApp.
Odborníci zdôrazňujú, že táto charakteristika robí z incidentu viac než len jednoduchú infekciu na úrovni balíka: premení chybný krok npm na úplné prevzatie účtu, ktoré prežije aj po vyčistení.a môže naďalej vystavovať koncových používateľov riziku dlho po aktualizácii zraniteľného softvéru.
Čo presne malvér kradne – a ako to skrýva
Technické poznámky od spoločnosti Koi Security a ďalších výskumníkov vykresľujú podrobný obraz zhromažďovaných údajov. Balík lotusbail je naprogramovaný tak, aby zhromažďovať rôzne citlivé artefakty WhatsApp, ďaleko za hranice len tela správ.
Medzi cieľové položky patria autentifikačné tokeny, kľúče relácie a párovacie kódy používajú sa na udržiavanie prepojenia medzi klientmi a servermi WhatsAppu. S ich pomocou môžu útočníci obnoviť alebo udržiavať relácie, aj keď sa určité zariadenia reštartujú alebo softvér preinštaluje.
Malvér tiež stiahne kompletné zoznamy kontaktov a členstiev v skupinách, čo umožňuje aktérom útokov zmapovať sociálny graf obete, identifikovať ciele s vysokou hodnotou alebo sa preorientovať na ďalšie účty. V kombinácii s obsahom správ to poskytuje útočníkom široký pohľad na vzťahy, obchodné procesy a súkromné konverzácie.
Súbory vymieňané cez WhatsApp sú podobne vystavené. Keďže wrapper vidí každý rámec WebSocket, môže zachytiť metadáta a užitočné dáta pre fotografie, videá, hlasové poznámky a dokumenty predtým, ako ich klient dešifruje a vykreslí. Tento materiál je potom pripravený na exfiltráciu na servery ovládané útočníkom.
Aby sa predišlo priamej detekcii na úrovni siete, balík používa plná, vlastná implementácia šifrovania RSAPred opustením kompromitovaného prostredia sú všetky zachytené dáta lokálne šifrované, čo znamená, že systémy detekcie narušenia alebo sieťové monitory, ktoré sa spoliehajú na hĺbkovú kontrolu paketov, neuvidia nič viac ako nepriehľadné šifrované bloby presúvajúce sa do vzdialených koncových bodov.
Okrem toho malvér obsahuje ochrana proti ladeniu zameraná na frustráciu bezpečnostných analytikovSprávy opisujú logiku, ktorá detekuje bežné scenáre ladenia alebo analýzy a reaguje vložením kódu do nekonečnej slučky, čím efektívne uzamkne proces a výrazne sťaží dynamickú kontrolu.
Pretrvávajúce riziko aj po odinštalovaní balíka npm
Jedným z najneintuitívnejších aspektov tejto udalosti je, že Odstránenie škodlivej závislosti z projektu automaticky nezabezpečí postihnuté účty WhatsApp.Trvalé prepojenie vytvorené procesom párovania zabezpečuje, že prístup útočníka prežije aj odinštalovanie.
Bezpečnostné tímy zdôrazňujú, že Lotusbail využíva dizajn multi-device modelu WhatsAppu: po úspešnom prepojení zariadenia, naďalej prijíma správy a aktualizácie účtu, kým ho vlastník manuálne nezruší v nastaveniach aplikácie. Neexistuje žiadny automatický časový limit viazaný na životný cyklus balíka npm alebo hostiteľskej aplikácie.
V dôsledku toho aj usilovní vývojári, ktorí identifikujú a odstránia knižnicu, môžu nechať svojich používateľov vystavených riziku, ak im zároveň nedajú pokyny, aby... skontrolovať zoznam prepojených zariadení v aplikácii WhatsAppAkákoľvek neznáma relácia zobrazená v tomto zozname by mala byť okamžite odpojená.
Vyšetrovatelia zdôrazňujú, že táto nuansa mení spôsob, akým by organizácie mali uvažovať o náprave. Už nestačí vyčistite škodlivý kód z kanálov zostavovania a serverovReakcia na incident sa musí rozšíriť aj na ekosystém aplikácie, s ktorým kód interagoval – v tomto prípade na účty WhatsApp, ktoré boli prepojené s kompromitovanými reláciami.
V praxi to môže vyžadovať, aby dotknuté projekty upozorniť používateľov a striedať prihlasovacie údaje WhatsApp, obnoviť relácie pomocou overených nástrojov a overiť, či žiadne zariadenia ovládané útočníkom nie sú naďalej autorizované na žiadnom účte používanom v produkčnom alebo testovacom procese.
Kto odhalil Lotusbail a ako bol vyšetrovaný
Kampaň sa dostala na svetlo sveta vďaka Spoločnosť Koi Security, ktorú vedie výskumník Tuval Admoni, ktorý publikoval podrobný rozbor správania balíka. Dodatočný komentár od výskumníka Idan Dardikman pomohlo objasniť, že malvér sa správa ako priehľadný obal okolo klienta WebSocket a aktivuje sa hneď po začatí bežného overovania a toku správ.
Admoni zhrnul hrozbu strohými slovami: Balík kradne prihlasovacie údaje WhatsAppu, zachytáva každú správu, zhromažďuje kontakty, inštaluje trvalé zadné vrátka a pred odoslaním všetko šifruje. na server ovládaný útočníkom. Táto kombinácia nenápadnosti, rozsahu a vytrvalosti povyšuje túto situáciu z obyčajnej nepríjemnosti na vážny incident v dodávateľskom reťazci.
Samotná statická analýza sa ukázala ako nedostatočná na označenie rizika. Keďže kódová základňa sprístupňuje rovnaké rozhrania a základné správanie ako legitímne knižnice, Signály založené na reputácii, ako sú počet stiahnutí, hodnotenia hviezdičkami alebo základné linting, ho len málo odlišujú od originálnych nástrojov.Balík dokázal prežiť na očiach napriek svojim škodlivým doplnkom.
Výskumníci tiež poznamenali, že Techniky antianalýzy zabudované do škodlivého softvéru spomalili reverzné inžinierstvo, čo si vyžaduje dôkladnejšie vybavenie a testovanie v sandboxe na úplné zmapovanie jej možností. V čase zverejnenia správy mala kampaň za sebou už niekoľko mesiacov prevádzky.
Tento prípad sa rýchlo pridal k rastúcemu zoznamu útokov založených na npm, ktoré poukazujú na to, ako Otvorené registre balíkov sa stali hlavným miestom pre hrozby v dodávateľskom reťazciHoci platformy môžu reagovať odstránením známych závadných balíkov, počiatočné odhaľovacie bremeno často stále leží na nezávislých bezpečnostných tímoch a ostražitých vývojároch.
Širšia vlna malvéru v dodávateľskom reťazci zameraného na vývojárov
Objav lotusbailu sa zhodoval s odhaleniami o... iné škodlivé balíky zamerané na vývojárske ekosystémy, čím sa zdôrazňuje, že tento incident je skôr súčasťou širšieho trendu než jednorazovou anomáliou.
V paralelnom výskume bezpečnostná firma ReversingLabs podrobne opísala skupinu 14 falošných balíkov NuGet, ktoré sa vydávajú za Nethereum a ďalšie knižnice súvisiace s kryptomenami vo svete .NET. Podobne ako v prípade WhatsApp npm, aj tieto balíky boli navrhnuté tak, aby sa hodili k legitímnym nástrojom používaným vývojármi pracujúcimi s blockchainom a digitálnymi aktívami.
Podľa týchto zistení balíky NuGet presmerovali finančné prostriedky z transakcií s kryptomenami do peňaženiek kontrolovaných útočníkmi alebo ticho extrahovali súkromné kľúče a seed frázy vždy, keď prevody presiahli 100 amerických dolárov. Názvy balíkov ako „binance.csharp“, „Bitcoin Core“, „bitapi.net“, „coinbase.api.net“, „googleads.api“, „nbitcoin.unified“, „nethereumnet“, „nethereumunified“, „nethereum.all“, „solananet“, „solnetall“, „solnetall.net“, „solnetplus“ a „solnetunified“ boli vytvorené tak, aby evokovali známe nástroje a služby.
Prevádzkovatelia týchto knižníc údajne s cieľom vybudovať dôveru nafúknuté štatistiky sťahovania a tlačené časté aktualizácie simulovať aktívnu údržbu a popularitu. Táto vrstva sociálneho inžinierstva odráža spôsob, akým sa Lotusbail spoliehal na viditeľnosť npm a reputáciu projektu Baileys, aby získal popularitu.
Odborníci z oboch výskumných tímov sa zhodujú na rovnakom bode: Útoky dodávateľského reťazca na vývojárov neustupujú, stávajú sa sofistikovanejšímiProtivníci sa naučili zameriavať presne na nástroje, na ktorých sú inžinieri závislí každý deň, či už ide o integráciu správ, finančné operácie alebo všeobecnú infraštruktúru.
Prečo konvenčné obranné mechanizmy zápasia s hrozbami dodávateľského reťazca NPM
Lotusbail tiež zdôrazňuje limity mnohých súčasných obranných opatrení používaných na ochranu softvérových kanálov. Tradičné prístupy, ako napríklad statické skenovanie kódu, základné linting, jednoduché kontroly podpisov a metriky reputácie sú často naladené na odhalenie zjavných varovných signálov, ale môžu ľahko prehliadnuť jemnú škodlivú logiku vloženú do inak platných balíkov.
Pretože knižnica verne implementuje očakávané rozhranie WhatsApp Web API, Automatizované nástroje nemusia vidieť nič viac ako mierne upravenú vetvičku známeho dobrého repozitára.Ani manuálne náhodné kontroly nemusia okamžite odhaliť nebezpečenstvo, najmä ak je škodlivý kód prepojený s legitímnymi sieťovými a šifrovacími rutinami.
Systémy založené na reputácii si v tomto smere nevedú o nič lepšie. Mnohé organizácie podvedome stotožňujú vysoký počet sťahovaní a časté aktualizácie s zabezpečeným zabezpečením, no v tomto prípade sa tieto signály buď prirodzene nahromadili v priebehu času, alebo ich útočník mohol umelo zosilniť. Popularita nezaručuje integritu, keď ktokoľvek dokáže publikovať podobný balík s presvedčivým popisom.
Vrstva proti ladeniu ďalej komplikuje dynamickú analýzu. Keď balík dokáže zistiť, že je spustené pod inštrumentáciou alebo pripojené k debuggeru a následne spúšťajúce nekonečné slučky alebo pádyAutomatizované sandboxy majú problém získať kompletný behaviorálny profil. To následne spomaľuje vytváranie podpisov a ich zverejňovanie.
Tieto výzvy poukazujú na potrebu robustnejšie, behaviorálne monitorovanie v produkčných prostrediach, kde je možné označiť podozrivé sieťové toky, neočakávané šifrovacie vzory alebo anomálny prístup k údajom, a to aj v prípade, že statické kontroly pôvodne schvália balík.
Čo môžu vývojári a organizácie urobiť práve teraz
Bezpečnostní špecialisti, ktorí vyšetrovali incident s Lotusbailom, zdôrazňujú, že Vývojári by mali považovať balíky tretích strán za nedôveryhodný kód, aj keď pochádzajú z hlavných registrov, ako je npmPraktické kroky môžu pomôcť znížiť vystavenie sa podobným hrozbám v budúcnosti.
Po prvé, tímy sú povzbudzované, aby overiť pôvod kritických závislostíTo zahŕňa kontrolu oficiálnej dokumentácie alebo repozitárov, či neobsahujú odporúčané názvy balíkov, overovanie totožnosti vydavateľov a uprednostňovanie knižníc spravovaných zavedenými organizáciami alebo známymi správcami, kedykoľvek je to možné.
Po druhé, odborníci odporúčajú pridanie monitorovania behu a detekcie anomálií v rámci citlivých integrácií ako sú rozhrania API na odosielanie správ, platobné moduly alebo kryptografické nástroje. Nezvyčajné odchádzajúce pripojenia, neočakávaná šifrovacia aktivita alebo toky údajov, ktoré nie sú v súlade so zdokumentovaným správaním, môžu byť skorými príznakmi narušenej závislosti.
Po tretie, organizácie by si mali udržiavať zoznam všetkých používaných balíkov tretích strán a sledovanie zmien v priebehu časuPripnutie verzií, kontrola zoznamov zmien a vykonávanie bezpečnostných posúdení pred väčšími aktualizáciami môže pomôcť odhaliť problematický kód skôr, ako sa dostane do produkcie.
Nakoniec, v prípadoch, keď sa integrácie WhatsAppu spoliehali na škodlivú knižnicu npm, by reakcia na incident mala ísť nad rámec čistenia kódu. Dotknutí používatelia by mali byť usmernení k otvorte nastavenia WhatsAppu, skontrolujte prepojené zariadenia a odstráňte všetky neznáme relácieBez tohto kroku môže mať spárované zariadenie útočníka naďalej plný prístup ku konverzáciám a obsahu.
Epizóda s Lotusbailom slúži ako dôrazná pripomienka toho, že Dôverovať balíku, pretože vyzerá povedome, má tisíce stiahnutí alebo napodobňuje populárny projekt, už nestačí.Keďže útočníci sa čoraz viac zameriavajú na vývojárske ekosystémy, starostlivé preverovanie závislostí a dôkladné sledovanie správania za behu sa stali nevyhnutnými súčasťami udržiavania skutočnej bezpečnosti účtov WhatsApp – a aplikácií, ktoré sú okolo nich vytvorené.
