Alertă pentru utilizatorii WhatsApp
Un pachet software distribuit pe platforma npm, utilizată de dezvoltatorii JavaScript, a expus mii de conturi WhatsApp Web la acces neautorizat. Multe persoane au descărcat această bibliotecă, crezând că este o unealtă oficială pentru automatizări, fără să suspecteze că include componente capabile să preia controlul asupra sesiunilor lor.
Detalii despre pachetul malițios
Biblioteca era prezentată ca un modul pentru WhatsApp Web API, însă integra funcții ascunse care permiteau colectarea datelor sensibile ale utilizatorilor. Codul acestui modul avea la bază un proiect open-source destinat dezvoltării de boți pentru WhatsApp. Sub denumirea „lotusbail”, pachetul oferea funcții obișnuite de automatizare, dar captura în fundal tokenuri de autentificare, chei de sesiune și conținutul mesajelor.
Interceptarea traficului
Traficul dintre utilizator și WhatsApp Web era interceptat înainte de a ajunge în aplicație, iar mesajele primite, mesajele trimise, fișierele multimedia și datele de autentificare erau copiate și trimise către serverele atacatorilor. Informațiile erau criptate cu un mecanism RSA modificat pentru a evita detectarea activității suspecte.
Acces neautorizat la conturi
Una dintre cele mai periculoase funcții ale pachetului era capacitatea de a conecta un dispozitiv suplimentar la contul victimei. Modulul genera un cod scurt, utilizat de atacator pentru a-și asocia propriul dispozitiv la contul WhatsApp al utilizatorului, prin procedura oficială de „Linked Devices”. Acest proces se desfășura în fundal, fără notificări vizibile, ceea ce îngreuna observarea accesului neautorizat.
Măsuri de protecție pentru utilizatori
Experții în securitate recomandă următoarele măsuri:
- Verificarea periodică a dispozitivelor conectate la contul WhatsApp, din meniul „Setări”.
- Eliminarea imediată a oricărui dispozitiv necunoscut.
- Dezinstalarea pachetului malițios, dacă a fost utilizat în proiecte software.
- Ruperea manuală a sesiunilor asociate, deoarece simpla dezinstalare nu anulează accesul atacatorului.
Impactul incidentului
Pachetul a fost activ timp de aproximativ jumătate de an și a fost descărcat de peste 56.000 de ori, ceea ce sugerează că numărul conturilor expuse poate fi semnificativ. Incidentul subliniază cât de ușor poate fi exploatată încrederea în bibliotecile open-source și importanța verificării atente a pachetelor instalate. Accesul la mesaje și fișiere poate rămâne invizibil pentru utilizatori mult timp, având consecințe grave.