- 悪意あるNPMパッケージ「lotusbail」がWhatsAppアカウントを乗っ取り、トークン、メッセージ、連絡先を盗む
- 攻撃者はWhatsAppのペアリング機能で自分の端末をリンクし、パッケージ削除後も侵害が継続
- 発見前に56,000回以上ダウンロードされており、開発者にはソースの慎重な確認が呼びかけられている
Node Package Manager(NPM)レジストリのユーザーが、WhatsAppアカウントを乗っ取り、メッセージや連絡先リストを盗み出すマルウェアの標的になっていると、専門家が警告している。
サイバーセキュリティ研究者のKoi Securityは、人気プロジェクトWhiskeySockets Baileysのフォークを最近発見した。これは、WhatsApp Webプロトコルとやり取りするためのWebSocketベースのAPIを提供するオープンソースのTypeScript/JavaScriptライブラリで、開発者がコンパニオン端末としてプログラムからWhatsAppに接続できるようにするものだ。
「lotusbail」と名付けられた悪意あるフォークは、正規プロジェクトと同じ機能を備えているが、WhatsAppの認証トークンとセッションキーも盗み出す。さらに、すべてのメッセージを傍受して記録し、連絡先、メディアファイル、その他あらゆるドキュメントを第三者サーバーへ送信する。
WhatsAppアカウントの乗っ取り
「このパッケージは、WhatsAppと通信する正規のWebSocketクライアントをラップしています。アプリケーションを流れるすべてのメッセージは、まずマルウェアのソケットラッパーを通過します」とKoi Securityはレポートで述べている。
「認証すると、ラッパーが認証情報を捕捉します。メッセージが届くと、それを傍受します。メッセージを送信すると、それを記録します」
しかし、おそらく最も憂慮すべきなのは、このパッケージがアプリのペアリング機能を通じて、攻撃者の端末を被害者のWhatsAppアカウントにリンクしてしまう点だ。つまり、被害者が悪意あるNPMパッケージを削除しても、リンクを手動で解除しない限りWhatsAppアカウントは侵害されたままとなる。
このマルウェアは少なくとも半年間npm上に存在しており、その間に56,000回を超えるダウンロードを集めた。
NPMは、npmを通じて公開されるJavaScriptパッケージをホストする、世界で最も人気のある公開オンラインレジストリの一つだ。開発者はNode.jsおよびJavaScriptプロジェクトで使用するオープンソースおよびプライベートパッケージを発見し、ダウンロードし、管理できる。
そのため、フォークされたプロジェクトからタイポスクワッティングされたものまで、あらゆる種類の詐欺やハッキング攻撃が絶えず押し寄せている。安全を保つには、ダウンロード数が何千もあるプロジェクトであっても、入手・実行する際には特に注意するよう開発者に勧められている。
