Atenție utilizatorilor WhatsApp: Un program fraudulos a afectat mii de conturi
Instrumentul malițios
Un pachet software disponibil pe platforma npm, utilizată de dezvoltatorii JavaScript, a fost identificat ca un instrument de acces neautorizat la conturile WhatsApp Web. Mii de utilizatori au descărcat această bibliotecă, crezând că este o unealtă oficială pentru automatizări, fără să realizeze că aceasta conține componente capabile să preia controlul asupra sesiunilor lor.
Funcționalitățile pachetului malițios
Prezentată ca un modul pentru WhatsApp Web API, biblioteca includea funcții ascunse care permiteau colectarea datelor sensibile ale utilizatorilor. Codul folosit în acest modul provine dintr-un proiect open-source destinat dezvoltării de boți pentru WhatsApp, denumit „lotusbail”. Acesta oferea funcții obișnuite de automatizare, dar în fundal captura token-uri de autentificare, chei de sesiune și conținutul mesajelor.
Toate informațiile transmise între utilizator și WhatsApp Web erau interceptate înainte de a ajunge în aplicație, inclusiv mesajele primite, mesajele trimise, fișierele multimedia și datele de autentificare, care erau copiate și trimise către serverele atacatorilor.
Pentru a evita detectarea, informațiile erau criptate cu un mecanism RSA modificat, astfel încât monitorizarea rețelei să nu poată identifica activitatea suspectă.
Accesul neautorizat la conturi
Una dintre cele mai periculoase funcții ale pachetului era capacitatea de a conecta un dispozitiv extern la contul victimei. Modulul genera un cod scurt, folosit de atacator pentru a asocia propriul dispozitiv la contul WhatsApp al utilizatorului, prin procedura oficială de „Linked Devices”. Procesul se desfășura în fundal, fără notificări vizibile, ceea ce îngreuna observarea accesului neautorizat.
Măsuri de protecție pentru utilizatori
Experții în securitate recomandă următoarele măsuri pentru a se proteja:
- Verificarea periodică a dispozitivelor conectate la contul WhatsApp din meniul „Setări”.
- Eliminarea imediată a oricărui dispozitiv necunoscut.
- Dezinstalarea pachetului malițios, dacă a fost utilizat în proiecte software.
- Ruperea manuală a sesiunilor asociate, deoarece simpla dezinstalare nu anulează accesul atacatorului.
Pachetul a fost activ timp de aproximativ șase luni și a fost descărcat de peste 56.000 de ori, ceea ce sugerează că numărul conturilor expuse poate fi semnificativ.
Concluzie
Incidentul subliniază vulnerabilitățile asociate cu bibliotecile open-source și importanța verificării atente a pachetelor instalate, având în vedere gravitatea consecințelor posibile pentru utilizatorii WhatsApp.
