I ricercatori di Koi Security hanno individuato un pacchetto npm che permette di accedere all’account WhatsApp e rubare tutti i messaggi. Essendo il fork di un noto pacchetto offre realmente le funzionalità pubblicizzate, ma ce ne sono altre nascoste, tra cui quelli di infostealer e backdoor. Gli sviluppatori devono eliminarlo al più presto.

Attenzione al pacchetto lotusbail

Il pacchetto in questione è lotusbail , disponibile tramite npm da almeno sei mesi e scaricato oltre 56.000 volte. La sua pericolosità è difficile da scoprire perché è un fork del pacchetto WhiskeySockets Baileys, quindi offre le stesse funzionalità (libreria API per WhatsApp Web). In realtà è un tradizionale attacco supply chain.

Il pacchetto include un client WebSocket legittimo che comunica con WhatsApp. Il suo wrapper acquisisce le credenziali di login e intercetta i messaggi in entrata e uscita dall’app. In pratica aggiunge un secondo destinatario per ogni messaggio. Vengono inoltre catturati i token di autenticazione, i file multimediali e l’elenco dei contatti. I dati vengono quindi inviati al server remoto in forma cifrata.

Per evitare la rilevazione sono usati quattro livelli di offuscamento: manipolazione delle variabili Unicode, compressione LZString, codifica Base-91 e crittografia AES. La “funzionalità” più pericolosa è quella che garantisce la persistenza (in pratica una backdoor).

Quando lo sviluppatore usa la libreria per l’autenticazione, il malware effettua l’accoppiamento tra l’account WhatsApp e il dispositivo del cybercriminale, esattamente come avviene con WhatsApp Web. La cancellazione del pacchetto npm non scollega il dispositivo, quindi l’accesso alle conversazioni rimane finché non viene effettuata la rimozione manuale nelle impostazioni dell’app (se l’utente si accorge della presenza di un dispositivo sconosciuto).