- Il pacchetto maligno lotusbail su NPM sottrae account WhatsApp, rubando token, messaggi e contatti.
- Gli aggressori collegano il proprio dispositivo tramite il pairing di WhatsApp, mantenendo l'accesso anche dopo la rimozione del pacchetto.
- Il pacchetto ha registrato oltre 56.000 download prima di essere scoperto; gli sviluppatori sono invitati a verificare con cura le sorgenti.
Gli utenti del registro Node Package Manager (NPM) sono nel mirino di un malware capace di prendere il controllo degli account WhatsApp, rubando messaggi e liste di contatti, come avvertito dagli esperti.
I ricercatori di cybersecurity di Koi Security hanno recentemente scoperto un fork del popolare progetto WhiskeySockets Baileys, una libreria open source TypeScript/JavaScript che fornisce un'API basata su WebSocket per interagire con il protocollo WhatsApp Web, consentendo agli sviluppatori di connettersi a WhatsApp come dispositivo associato.
Il fork malevolo, denominato "lotusbail", mantiene tutte le funzionalità del progetto legittimo, ma sottrae anche i token di autenticazione e le chiavi di sessione di WhatsApp. Inoltre, intercetta e registra tutti i messaggi, estraendo contatti, file multimediali e ogni altro documento verso un server di terze parti. Per analizzare questi codici sospetti o gestire la sicurezza dei propri dati, è consigliabile utilizzare i migliori portatili con elevate capacità di calcolo. Chi lavora nello sviluppo software potrebbe aver bisogno dei migliori notebook per programmatori per individuare tempestivamente simili minacce nel proprio ambiente di lavoro.
Sottrazione degli account WhatsApp
"Il pacchetto avvolge il client WebSocket legittimo che comunica con WhatsApp. Ogni messaggio che transita attraverso l'applicazione passa prima dal socket wrapper del malware", ha spiegato Koi Security nel suo rapporto.
"Al momento dell'autenticazione, il wrapper cattura le credenziali. Quando arrivano i messaggi, li intercetta. Quando ne inviate, li registra". L'aspetto più allarmante è che il pacchetto collega il dispositivo dell'attaccante all'account WhatsApp della vittima tramite la funzione di pairing. Ciò significa che, anche se la vittima rimuove il pacchetto NPM malevolo, l'account WhatsApp resta compromesso finché il collegamento non viene disconnesso manualmente.
Il malware è rimasto su npm per almeno sei mesi, accumulando nel frattempo oltre 56.000 download. NPM è uno dei registri pubblici online più popolari al mondo per i pacchetti JavaScript. Per gestire lo sviluppo software in sicurezza, molti professionisti scelgono i migliori notebook per programmatori disponibili sul mercato.
Proprio per la sua popolarità, il registro è costantemente bersagliato da truffe e attacchi informatici, dai fork malevoli ai casi di typosquatting. Per proteggersi, si consiglia agli sviluppatori di prestare estrema cautela nel download e nell'esecuzione di qualsiasi risorsa, anche nel caso di progetti con migliaia di download. In scenari lavorativi critici, l'utilizzo dei migliori computer aziendali può offrire un ulteriore livello di protezione grazie a configurazioni hardware e software più sicure.