Gói NPM độc hại đánh cắp tài khoản và tin nhắn WhatsApp

Thứ sáu - 26/12/2025 22:30 9 0
Một gói phần mềm độc hại trong kho lưu trữ Node Package Manager (NPM) giả mạo là thư viện WhatsApp Web API hợp pháp, nhằm đánh cắp tin nhắn WhatsApp, thu thập danh bạ và giành quyền truy cập vào tài khoản.
 
Được phát triển dựa trên dự án WhiskeySockets Baileys nổi tiếng, gói phần mềm độc hại này đã có mặt trên npm với tên gọi “lotusbail” trong vòng sáu tháng và thu hút hơn 56.000 lượt tải xuống.
npm
Gói lotusbail trên NPM
Các nhà nghiên cứu tại Công ty bảo mật chuỗi cung ứng Koi Security đã phát hiện ra hoạt động của lotusbail và nhận thấy nó có thể đánh cắp token xác thực và khóa phiên của WhatsApp, chặn và ghi lại tất cả tin nhắn - cả tin nhắn gửi và nhận, cũng như đánh cắp danh bạ, tệp tin đa phương tiện và tài liệu.

“Gói phần mềm này bao bọc WebSocket client hợp pháp giao tiếp với WhatsApp. Mỗi tin nhắn truyền qua ứng dụng của bạn đều phải đi qua trình bao bọc socket của phần mềm độc hại trước. Khi bạn xác thực, nó sẽ thu thập thông tin đăng nhập của bạn. Ngoài ra, khi tin nhắn đến và gửi đi, phần mềm độc hại cũng sẽ chặn và ghi lại những thông tin đó”, các nhà nghiên cứu giải thích.
mttdl
Mã thu thập dữ liệu
Thông tin thu thập được sẽ mã hóa bằng thuật toán RSA tùy chỉnh và nhiều lớp làm rối, chẳng hạn như các kỹ thuật Unicode, nén LZString và mã hóa AES trước khi được trích xuất.

Ngoài hoạt động đánh cắp dữ liệu, gói phần mềm độc hại còn chứa mã liên kết thiết bị của kẻ tấn công với tài khoản WhatsApp của nạn nhân thông qua quá trình ghép nối thiết bị.

Điều này cho phép tin tặc duy trì quyền truy cập vào tài khoản ngay cả sau khi gói NPM độc hại đã bị xóa. Quyền truy cập vẫn được duy trì cho đến khi nạn nhân tự xóa các thiết bị được liên kết khỏi cài đặt WhatsApp.
cngntb
Chức năng ghép nối thiết bị
Koi Security báo cáo rằng lotusbail sử dụng một bộ 27 vòng lặp vô hạn để làm cho việc gỡ lỗi và phân tích trở nên khó khăn hơn, đó có thể là lý do tại sao nó lại có thể hoạt động mà không bị phát hiện trong thời gian dài như vậy.

Các nhà phát triển đã sử dụng gói phần mềm này được khuyến cáo nên gỡ bỏ nó khỏi hệ thống và kiểm tra tài khoản WhatsApp của mình xem có thiết bị nào bị liên kết trái phép hay không.

Koi Security nhấn mạnh rằng việc chỉ xem mã nguồn để tìm ra các dòng lệnh độc hại là chưa đủ; các nhà phát triển nên giám sát hành vi trong quá trình thực thi để phát hiện các kết nối ra ngoài bất thường, hoặc hoạt động trong quá trình xác thực với các thành phần phụ thuộc mới nhằm xác nhận tính an toàn của chúng.

Tác giả: Hồng Đạt

Nguồn tin: Tạp chí An toàn thông tin

 Tags: độc hại, giả mạo, thu thập, tài khoản
Tin đọc nhiều nhất
Hình ảnh hoạt động
Video hoạt động
Phóng sự sơ kết 01 năm thực hiện kế hoạch 586 về chuyển đổi số tỉnh Nghệ An

Phóng sự sơ kết 01 năm thực hiện kế hoạch 586 về chuyển đổi số tỉnh Nghệ An

2022.09.20: Chủ tịch UBND tỉnh làm việc với Sở Thông tin và Truyền thông

2022.09.20: Chủ tịch UBND tỉnh làm việc với Sở Thông tin và Truyền thông

Phóng sự 10 năm thành lập Trung tâm Công nghệ thông tin và Truyền thông Nghệ An

Phóng sự 10 năm thành lập Trung tâm Công nghệ thông tin và Truyền thông Nghệ An


Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây