WhatsApp Web APIライブラリとして機能する悪意のあるNPMパッケージが、ユーザーの認証情報とデータを盗み出していることが判明したと、Koi Securityが警告している。
「Baileys」ライブラリのフォークであるこのパッケージ「Lotusbail」は、NPMリポジトリで6か月間公開されており、これまでに56,000回以上ダウンロードされている。
Koiによると、LotusbailはWhatsAppメッセージの送受信をサポートする。正規のWebSocketクライアントをラップしており、すべてのメッセージはまずこのラッパーを経由する。
つまり、このラッパーがユーザーの認証情報に加え、送受信されるすべてのメッセージを捕捉し、あらゆる情報をマルウェア運用者に送信するということだ。
「WhatsAppの認証トークン、送受信されたすべてのメッセージ、完全な連絡先リスト、メディアファイル――APIを通過するものはすべて複製され、持ち出し(流出)に備えて準備される」と、Koiは述べている。
このパッケージは、検知を回避するため、送信前に独自のRSA実装を用いて収集した情報をすべて暗号化する。
さらに、このマルウェアはWhatsAppのデバイスのペアリング手順を乗っ取り、攻撃者自身のデバイスを追加して、被害者のアカウントにバックドアとしてアクセスできるようにしていたことも確認された。
「このライブラリを使って認証すると、アプリケーションをリンクするだけではなく、脅威アクターのデバイスもリンクしてしまう。彼らはあなたのWhatsAppアカウントに完全かつ永続的にアクセスでき、あなたはそこにいることに気づきもしない」と、Koiは指摘している。
Koiによれば、悪意のあるパッケージをアンインストールするだけでは、攻撃者のアクセスを取り除くには不十分だ。被害者はWhatsAppの設定から、すべてのデバイスを手動でリンク解除する必要がある。
同サイバーセキュリティ企業によると、LotusbailのNPMパッケージは高度なサプライチェーン攻撃の一部であり、従来の検知を回避するために、デバッガーやサンドボックス、その他の解析ツールを検出する数十のチェックも含まれている。
翻訳元: https://www.securityweek.com/npm-package-with-56000-downloads-steals-whatsapp-credentials-data/
