- Злонамереният npm fork на Baileys WhatsApp Web API, публикуван като lotusbail, е изтеглен над 56 000 пъти.
- Пакетът обгръща легитимния WebSocket клиент, за да краде токени, ключове за сесия, съобщения, контакти и медийни файлове във фонов режим.
- Нападателите тихомълком свързват собственото си устройство с акаунта на жертвата в WhatsApp, като запазват достъп дори след деинсталиране на пакета.
- Изследователи от Koi Security призовават разработчиците да проучват критически зависимостите на npm и да наблюдават поведението по време на изпълнение, за да откриват атаки срещу веригата за доставки.
Привидно безобиден npm пакет, рекламиран като помощник на WhatsApp Web API е била хваната да тайно открадва чатове, контакти и данни за достъп от нищо неподозиращи разработчици и техните потребители. Библиотеката, публикувана под името „Лотусбейл“, остана достъпен в продължение на месеци в официалния регистър на npm и успя да натрупа над 56 000 изтегляния, преди да бъде обект на сериозен контрол.
Според множество независими публикации и подробно разследване от Кои сигурност, пакетът се държи като нормален инструментариум за автоматизация на WhatsApp на пръв поглед, но във фонов режим той прихваща всяко съобщение, събира данни за акаунта и установява постоянна задна врата до компрометирани акаунти в WhatsApp. Тъй като злонамереното поведение е вплетено в легитимна функционалност, много проекти биха могли да го интегрират, без да забележат нещо очевидно нередно.
Как фалшивият пакет на WhatsApp Web API се промъкна в npm
Зловредната библиотека се появи в npm около май 2025 г., качена от потребител, който минаваше „seiren_primrose“ и е описан като удобен API за взаимодействие с WhatsApp Web. Под капака е fork на популярния проект с отворен код @whiskeysockets/baileys, библиотека на TypeScript/JavaScript, която предлага API, базиран на WebSocket, за изграждане на ботове и автоматизации върху WhatsApp Web.
Чрез точно имитиране на публичния интерфейс и поведение на Бейлис, злонамереният актер гарантира, че разработчиците биха могли да добавят пакета в съществуващите работни процеси с минимални промениДокументацията и именуването бяха изработени така, че да изглеждат легитимни, което намали шансовете натоварени екипи да поставят под въпрос произхода им, особено като се има предвид начинът, по който данните за използването на npm често действат като показател за доверие.
В продължение на около половин година пакетът се е натрупал повече от 56 000 общо инсталации и стотици седмични изтеглянияПрез това време той оставаше достъпен за търсене и инсталиране от официалния регистър, което ефективно го превръщаше в тиха заплаха за веригата за доставки за всяко приложение, което интегрира функционалността на WhatsApp чрез JavaScript.
Изследователите подчертават, че нищо в основния процес на публикуване в NPM не е попречило на това качване: Всеки потребител може да публикува пакет с професионално звучащо име, да копира API на известен проект и веднага да получи видимост. в екосистемата. Именно тази реалност е това, от което нападателите се възползваха в този случай.
Злоупотреба с WebSocket клиента за събиране на данни от WhatsApp
Същността на атаката се крие в това как lotusbail обгръща легитимния WebSocket клиент, който комуникира с уеб протокола на WhatsAppВместо да изгражда нов интерфейс от нулата, пакетът вмъква персонализиран контейнер около стандартната имплементация на Baileys WebSocket, позволявайки на всяко входящо и изходящо съобщение първо да премине през зловредния софтуер.
Анализът на Koi Security обяснява, че след като разработчик се удостовери с WhatsApp чрез тази библиотека, обвивката незабавно грабва токени за удостоверяване и ключове за сесияОт този момент нататък всяко съобщение, което преминава през връзката – входящо или изходящо – се отразява прозрачно в инфраструктурата на нападателя.
Това огледално отразяване се простира отвъд обикновените текстови чатове. Пакетът е проектиран да извличане на истории на съобщения, списъци с контакти и всички прикачени медийни файлове, включително снимки, видеоклипове, аудиоклипове и документи. Всъщност, клонира средата на разговора на потребителя: с кого говори, какво изпраща и какво получава.
Най-важното е, че нищо от това не нарушава нормалното поведение, което разработчиците очакват. Официалната функционалност все още изглежда работи правилно, ботовете продължават да реагират, автоматизациите работят както обикновено, а сесиите на WhatsApp остават стабилни. Зловредният софтуер просто добавя това, което един изследовател описа като „втори, невидим получател на всичко“, което прави откриването чрез случайно наблюдение изключително малко вероятно.
Всичко това се задейства чрез обикновено използване на API. Няма нужда жертвата да изпълнява допълнителни команди или да активира специални флагове; Удостоверяването и рутинната обработка на съобщения са достатъчни, за да активират възможностите за шпиониране., което е една от причините кампанията да действа незабелязано в продължение на месеци.
Скрит достъп през задна врата: сдвояване на устройството на нападателя
Освен кражбата на данни, lotusbail въвежда и по-коварна възможност: той тихо... сдвоява устройство, контролирано от нападателя, с акаунта на жертвата в WhatsAppТова използва същия работен процес за сдвояване на множество устройства, на който легитимните потребители разчитат, за да свържат допълнителни телефони или настолни компютри към акаунта си.
По време на процеса на влизане, зловредният софтуер задейства скрита рутина за сдвояване. Изследователите съобщават, че кодът генерира осемсимволен произволен низ и го подава към механизма за свързване на устройства на WhatsApp, отвличайки стандартния процес с твърдо кодиран поток за сдвояване, вграден в злонамерения пакет.
След като това сдвояване приключи, устройството на нападателя ефективно става друг оторизиран клиент на целевия акаунт. От този момент нататък, Злоумишлениците могат да четат и изпращат съобщения, да преглеждат контакти и да имат достъп до медийни файлове, сякаш са собственик на акаунта. – и те могат да го направят, без да разчитат на наличието на оригиналния, злонамерен пакет.
Това е причината за нейната устойчивост на атаката. Дори ако разработчик, съобразен със сигурността забелязва подозрителната зависимост и я премахва от проекта, компрометирането не се отменя автоматично. Злонамереният npm код може да е изчезнал, но свързаното устройство на нападателя остава активно, докато не бъде изрично премахнато от списъка с надеждни сесии на WhatsApp.
Експертите подчертават, че тази характеристика прави инцидента нещо повече от обикновена инфекция на ниво пакет: Това превръща грешката на npm в пълно поглъщане на акаунт, което оцелява след почистване.и може да продължи да излага крайните потребители на риск дълго след като уязвимият софтуер е бил актуализиран.
Какво точно краде зловредният софтуер – и как го крие
Техническите бележки от Koi Security и други изследователи рисуват подробна картина на събираните данни. Пакетът lotusbail е програмиран да събиране на разнообразни чувствителни артефакти от WhatsApp, далеч отвъд просто текста на съобщенията.
Сред целевите елементи са токени за удостоверяване, ключове за сесия и кодове за сдвояване използва се за поддържане на връзката между клиентите и сървърите на WhatsApp. С тяхна помощ нападателите могат да пресъздадат или поддържат сесии, дори ако определени устройства бъдат рестартирани или софтуерът бъде преинсталиран.
Зловредният софтуер също така изтегля пълни списъци с контакти и членства в групи, което позволява на злонамерените лица да картографират социалната мрежа на жертвата, да идентифицират високоценни цели или да се насочат към допълнителни акаунти. В комбинация със съдържанието на съобщенията, това дава на злонамерените лица широк поглед върху взаимоотношенията, бизнес процесите и личните разговори.
Файловете, обменяни през WhatsApp, са изложени на подобен начин. Тъй като обвивката вижда всеки WebSocket кадър, тя може заснемане на метаданни и полезни данни за снимки, видеоклипове, гласови бележки и документи преди да бъдат декриптирани и рендирани от клиента. След това този материал се подготвя за изтичане към контролирани от хакера сървъри.
За да се избегне директното откриване на мрежово ниво, пакетът използва пълна, персонализирана имплементация на RSA криптиранеПреди да напуснат компрометираната среда, всички заловени данни се криптират локално, което означава, че системите за откриване на проникване или мрежовите монитори, които разчитат на задълбочена проверка на пакети, ще видят малко повече от непрозрачни криптирани блобове, движещи се към отдалечени крайни точки.
В допълнение към това, зловредният софтуер включва защити против отстраняване на грешки, насочени към разочарование на анализаторите по сигурносттаДокладите описват логика, която открива често срещани сценарии за отстраняване на грешки или анализ и реагира, като вкарва кода в безкраен цикъл, като по този начин ефективно блокира процеса и прави динамичната проверка много по-трудна.
Постоянен риск дори след деинсталиране на npm пакета
Един от по-противоинтуитивните аспекти на този инцидент е, че Премахването на злонамерена зависимост от проект не защитава автоматично засегнатите акаунти в WhatsAppПостоянната връзка, създадена чрез процеса на сдвояване, гарантира, че достъпът на нападателя ще оцелее след деинсталирането.
Екипите по сигурност подчертават, че lotusbail се възползва от начина, по който е проектиран многоустройственият модел на WhatsApp: след като устройството е успешно свързано, продължава да получава съобщения и актуализации на акаунта, докато собственикът ръчно не го отмени в настройките на приложението. Няма автоматично изчакване, обвързано с жизнения цикъл на npm пакета или хостинг приложението.
В резултат на това, дори старателните разработчици, които идентифицират и изтрият библиотеката, могат да оставят потребителите си изложени на риск, ако не ги инструктират също така да... прегледайте списъка със свързани устройства в WhatsAppВсяка непозната сесия, появяваща се в този списък, трябва да бъде прекъсната незабавно.
Изследователите подчертават, че този нюанс променя начина, по който организациите трябва да мислят за отстраняването на щети. Вече не е достатъчно само изчистване на злонамерен код от конвейери за изграждане и сървъриРеагирането на инциденти трябва да обхване и екосистемата на приложението, с която е взаимодействал кодът – в този случай, акаунтите в WhatsApp, които са били свързани с компрометирани сесии.
На практика, засегнатите проекти може да се нуждаят от уведомяване на потребителите и ротиране на идентификационните данни за WhatsApp, възстановете сесиите чрез инструменти, за които е известно, че са добри, и проверете дали не са оторизирани устройства, контролирани от нападателя, за който и да е акаунт, използван в производствена или тестова среда.
Кой разкри Лотусбейл и как беше разследван
Кампанията излезе наяве благодарение на Koi Security, ръководена от изследователя Тувал Адмони, който публикува подробен анализ на поведението на пакета. Допълнителен коментар от изследовател Идан Дардикман помогна да се изясни, че зловредният софтуер се държи като прозрачна обвивка около WebSocket клиента, активирайки се веднага щом започне нормалното удостоверяване и потоците от съобщения.
Адмони обобщи заплахата с директни думи: Пакетът краде идентификационни данни за WhatsApp, прихваща всяко съобщение, събира контакти, инсталира постоянна задна врата и криптира всичко, преди да го изпрати към сървър, контролиран от нападател. Тази комбинация от скритост, обхват и постоянство е това, което издига това от обикновена неприятност до сериозен инцидент във веригата за доставки.
Само статичният анализ се оказа неадекватен за идентифициране на риска. Тъй като кодовата база предоставя същите интерфейси и базово поведение като легитимните библиотеки, Сигнали, базирани на репутация, като например брой изтегляния, звездни оценки или основно „линтинг“, не правят много, за да го разграничат от истински инструменти.Пакетът успя да се запази на видно място въпреки злонамерените си добавки.
Изследователите също отбелязаха, че Вградените в зловредния софтуер техники за антианализ забавиха обратното инженерство, което изисква по-внимателно оборудване и пясъчник, за да се картографират напълно възможностите му. По времето, когато докладът беше публикуван, кампанията вече се беше радвала на няколко месеца оперативно време.
Случаят бързо се присъедини към нарастващия списък от атаки, базирани на npm, които подчертават как Отворените регистри на пакети са се превърнали в основно поле за заплахи за веригата на доставкиВъпреки че платформите могат да реагират, като премахват известно лоши пакети, първоначалната тежест на откриване често все още пада върху независими екипи по сигурността и бдителни разработчици.
По-широка вълна от зловреден софтуер, насочен към разработчиците, във веригата за доставки
Откриването на lotusbail съвпадна с разкритията за други злонамерени пакети, насочени към екосистемите на разработчиците, подчертавайки, че този инцидент е част от по-широка тенденция, а не еднократна аномалия.
В паралелно проучване, фирмата за сигурност ReversingLabs подробно описа клъстер от 14 измамни NuGet пакета, представящи се за Nethereum и други библиотеки, свързани с криптовалути в света на .NET. Подобно на случая с WhatsApp npm, тези пакети са проектирани да се сливат с легитимни инструменти, използвани от разработчици, работещи с блокчейн и цифрови активи.
Според тези открития, пакетите NuGet пренасочва средства от транзакции с криптовалута към портфейли, контролирани от нападатели или тихомълком извличали частни ключове и seed фрази, когато преводите надвишавали 100 щатски долара. Имена на пакети като „binance.csharp“, „Bitcoin Core“, „bitapi.net“, „coinbase.api.net“, „googleads.api“, „nbitcoin.unified“, „nethereumnet“, „nethereumunified“, „nethereum.all“, „solananet“, „solnetall“, „solnetall.net“, „solnetplus“ и „solnetunified“ били създадени, за да напомнят за добре познати инструменти и услуги.
За да се изгради доверие, операторите зад тези библиотеки, според съобщенията, завишени статистики за изтегляния и налагани чести актуализации да симулира активна поддръжка и популярност. Този слой на социално инженерство наподобява начина, по който Lotusbail разчиташе на видимостта на npm и репутацията на проекта Baileys, за да набере скорост.
Експертите от двата изследователски екипа са единодушни по един и същ въпрос: Атаките срещу разработчиците по веригата за доставки не отслабват; те стават все по-сложниПротивниците са се научили да се насочват точно към инструментите, от които инженерите зависят всеки ден, независимо дали става въпрос за интеграция на съобщения, финансови операции или обща инфраструктура.
Защо конвенционалните защити се борят със заплахите за веригата за доставки на нови продукти (npm)
Lotusbail също така подчертава ограниченията на много от настоящите защити, използвани за защита на софтуерните тръбопроводи. Традиционни подходи, като например статично сканиране на код, основно линтиране, прости проверки на подписи и показатели за репутация често са настроени да забелязват очевидни червени флагове, но лесно могат да пропуснат фина злонамерена логика, вградена в иначе валидни пакети.
Тъй като библиотеката вярно имплементира очакваната повърхност на WhatsApp Web API, Автоматизираните инструменти може да не видят нищо повече от леко модифицирана разклонение (fork) на известно добро хранилищеДори ръчните проверки на място може да не разкрият веднага опасността, особено когато вредоносният код е преплетен с легитимни мрежови и криптиращи процедури.
Системите, базирани на репутация, не се справят по-добре тук. Много организации подсъзнателно отъждествяват висок брой изтегляния и чести актуализации с безопасност, но в този случай тези сигнали или са се натрупали естествено с течение на времето, или са могли да бъдат изкуствено подсилени от нападателя. Популярността не гарантира почтеност, когато някой може да публикува подобен пакет с убедително описание.
Слоят против отстраняване на грешки допълнително усложнява динамичния анализ. След като даден пакет може да открие, че е изпълнява се под инструментална екипировка или е свързано с дебъгер и след това задейства безкрайни цикли или сривове, автоматизираните пясъчникови системи трудно успяват да получат пълен поведенчески профил. Това от своя страна забавя създаването на сигнатури и публичното им оповестяване.
Тези предизвикателства сочат необходимостта от по-стабилен, ориентиран към поведението мониторинг в производствени среди, където подозрителни мрежови потоци, неочаквани модели на криптиране или аномален достъп до данни могат да бъдат маркирани, дори ако статичните проверки първоначално одобрят пакет.
Какво могат да направят разработчиците и организациите в момента
Специалистите по сигурността, които са разследвали инцидента с Lotusbail, подчертават, че Разработчиците трябва да третират пакетите на трети страни като ненадежден код, дори когато те идват от големи регистри като npmПрактическите стъпки могат да помогнат за намаляване на излагането на подобни заплахи в бъдеще.
Първо, екипите се насърчават да проверете произхода на критичните зависимостиТова включва проверка на официална документация или хранилища за препоръчителни имена на пакети, валидиране на самоличността на издателите и предпочитане на библиотеки, поддържани от утвърдени организации или известни поддържащи компании, когато е възможно.
Второ, експертите препоръчват добавяне на мониторинг по време на изпълнение и откриване на аномалии около чувствителни интеграции като например API за съобщения, модули за плащане или криптографски инструменти. Необичайни изходящи връзки, неочаквана криптираща активност или потоци от данни, които не съответстват на документираното поведение, могат да бъдат ранни признаци на компрометирана зависимост.
Трето, организациите трябва да поддържат инвентаризация на всички използвани пакети на трети страни и проследяване на промените във времетоЗакрепването на версии, прегледът на дневниците с промени и извършването на оценки на сигурността преди големи ъпгрейди може да помогне за откриването на проблемен код, преди да достигне до производствена версия.
Накрая, в случаите, когато интеграциите на WhatsApp са разчитали на злонамерената npm библиотека, реакцията при инциденти трябва да надхвърля почистването на кода. Засегнатите потребители трябва да бъдат насочвани към Отворете настройките на WhatsApp, проверете свързаните устройства и премахнете всички неизвестни сесииБез тази стъпка, сдвоеното устройство на нападателя може да продължи да има пълен достъп до разговорите и съдържанието.
Епизодът с Lotusbail служи като ясно напомняне, че вече не е достатъчно да се доверяваш на пакет, защото изглежда познат, има хиляди изтегляния или имитира популярен проектТъй като атакуващите все по-често се насочват към екосистемите на разработчиците, внимателната проверка на зависимостите и внимателното наблюдение на поведението по време на изпълнение се превърнаха в съществени части от поддържането на истинската сигурност на акаунтите в WhatsApp – и приложенията, изградени около тях.
