5万6,000回以上ダウンロードされた悪意あるnpmパッケージが、動作するWhatsApp Web APIライブラリを装い、メッセージを盗み、認証情報と連絡先を収集し、ユーザーのWhatsAppアカウントを乗っ取る。
Koi Securityによると、lotusbailというnpmパッケージは6か月間ダウンロード可能な状態にあり、しかもコードが実際に動作するため特に危険だという。
「これは実際にWhatsApp APIとして機能します」と、Koi Securityの研究者Tuval Admoniは日曜のブログで述べた。「正規のBaileysライブラリをベースにしており、WhatsAppメッセージの送受信という実際に動く機能を提供します」
宣伝どおりに動作するだけでなく、正規の@whiskeysockets/baileysパッケージをフォークしたこの秘密窃取ライブラリは、WebSocketを使ってWhatsAppと通信する。
しかしこれは、すべてのWhatsApp通信がソケットラッパーを通過することを意味し、ログイン時に認証情報を取得したり、送受信されるメッセージを傍受したりできるようになる。
「あなたのWhatsApp認証トークン、送信または受信されたすべてのメッセージ、完全な連絡先リスト、メディアファイル――APIを通過するものはすべて複製され、持ち出し(exfiltration)の準備がされます」とAdmoniは書いている。
このマルウェアはまた、カスタムRSA実装を用いてデータを暗号化し、さらにUnicode操作、LZString圧縮、Base-91エンコード、AES暗号化という4層の難読化を施したうえで、盗んだ情報を攻撃者が管理するサーバへ送信する。
さらに、チャットアプリのデバイス・ペアリング手順を介してユーザーのWhatsAppアカウントにバックドアを仕込み、攻撃者のデバイスを被害者のデバイスに紐づける。つまり、悪意あるnpmパッケージをアンインストールした後でも、攻撃者のデバイスが気づかないユーザーのWhatsAppアカウントにリンクされたまま残り得る。
今回の毒入りパッケージは、増大し続けるサプライチェーンリスクを示す最新例であり、暗号通貨、認証情報、その他の秘密窃取を行うnpmライブラリの複数の事例に続くものだ。さらに、巨大なトークン・ファーミング・キャンペーンでスパム的なパッケージを大量にレジストリへ流し込むボットの存在もある。
The Registerは最近、これらの出来事について、Teaトークン・ファーミング・キャンペーンに関連する15万件以上の悪意あるnpmパッケージを受け、創業者たちがインセンティブ・プログラムの報酬を停止し、2026年初頭のメインネット公開に先立ってプロトコルを再設計せざるを得なくなった後、Teaの共同創業者兼CEOであるTim Lewisに取材した。
「私はこれを炭鉱のカナリアだと見ています」とLewisは言う。「破壊的な組織であれば……同じ手法を使って[サプライチェーンを]攻撃する動機が生まれます。だから中核を修正する必要があるのです」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/22/whatsapp_npm_package_message_steal/
