- Zlonamjerni npm fork Baileys WhatsApp Web API-ja, objavljen kao lotusbail, preuzet je preko 56,000 puta.
- Paket obavija legitimnog WebSocket klijenta kako bi u pozadini ukrao tokene, ključeve sesije, poruke, kontakte i medije.
- Napadači tiho uparuju vlastiti uređaj sa WhatsApp računom žrtve, održavajući pristup čak i nakon što je paket deinstaliran.
- Istraživači iz Koi Securityja pozivaju programere da prouče zavisnosti npm-a i prate ponašanje tokom izvođenja programa kako bi uočili napade u lancu snabdijevanja.
Naizgled bezopasno npm paket reklamiran kao pomoćnik za WhatsApp Web API uhvaćen je u tihom krađi chatova, kontakata i pristupnih podataka od ništa ne slutećih programera i njihovih korisnika. Biblioteka, objavljena pod imenom "lotusbail", ostao je dostupan mjesecima na službenom npm registru i uspio je prikupiti više od 56,000 preuzimanja prije nego što je privukao ozbiljnu pažnju.
Prema više nezavisnih članaka i detaljnoj istrazi koju je provela Zaštita koi šaranaPaket se na površini ponaša kao normalan WhatsApp alat za automatizaciju, ali u pozadini... presreće svaku poruku, prikuplja podatke o računu i uspostavlja trajna backdoor vrata do kompromitovanih WhatsApp računa. Budući da je zlonamjerno ponašanje utkano u legitimne funkcionalnosti, mnogi projekti su ga mogli integrirati bez da su primijetili nešto očigledno pogrešno.
Kako se lažni WhatsApp Web API paket uvukao u npm
Zlonamjerna biblioteka pojavila se na npm-u oko maja 2025. godine, a postavio ju je korisnik koji je prolazio "seiren_jagorčevina" i opisan kao praktičan API za interakciju sa WhatsApp Webom. U osnovi, to je... fork popularnog projekta otvorenog koda @whiskeysockets/baileys, TypeScript/JavaScript biblioteka koja nudi WebSocket-bazirani API za izgradnju botova i automatizacija na WhatsApp Webu.
Vjernim oponašanjem Baileysovog javnog nastupa i ponašanja, napadač je osigurao da programeri bi mogli ubaciti paket u postojeće tokove rada uz minimalne promjeneDokumentacija i imenovanje su izrađeni tako da izgledaju legitimno, smanjujući šanse da će zauzeti timovi dovoditi u pitanje njihovo porijeklo, posebno s obzirom na način na koji brojke korištenja npm-a često djeluju kao pokazatelj povjerenja.
Paket se akumulirao tokom otprilike pola godine više od 56,000 ukupnih instalacija i stotine sedmičnih preuzimanjaTokom tog vremena, aplikacija je ostala pretraživa i instalirana iz službenog registra, što ju je efektivno pretvorilo u tihu prijetnju lancu snabdijevanja za bilo koju aplikaciju koja je integrirala WhatsApp funkcionalnost putem JavaScripta.
Istraživači naglašavaju da ništa u osnovnom procesu objavljivanja na NPM-u nije spriječilo ovo slanje podataka: Bilo koji korisnik može objaviti paket s profesionalnim imenom, kopirati API poznatog projekta i odmah steći vidljivost. u ekosistemu. Upravo tu stvarnost su napadači iskoristili u ovom slučaju.
Zloupotreba WebSocket klijenta za hvatanje WhatsApp podataka
Suština napada leži u tome kako lotusbail obavija legitimni WebSocket klijent koji komunicira s WhatsAppovim web protokolomUmjesto izgradnje novog interfejsa od nule, paket ubacuje prilagođeni kontejner oko standardne Baileys WebSocket implementacije, omogućavajući da svaka dolazna i odlazna poruka prvo prođe kroz zlonamjerni softver.
Analiza Koi Securityja objašnjava da kada se programer autentifikuje sa WhatsApp-om putem ove biblioteke, omotač odmah uzima autentifikacijske tokene i ključeve sesijeOd tog trenutka nadalje, svaka poruka koja prođe kroz vezu – dolazna ili odlazna – transparentno se odražava na infrastrukturu napadača.
To zrcaljenje se proteže dalje od običnih tekstualnih razgovora. Paket je dizajniran da izvuče historiju poruka, liste kontakata i sve priložene medijske datoteke, uključujući fotografije, video zapise, audio snimke i dokumente. U suštini, klonira okruženje za razgovor korisnika: s kim razgovara, šta šalje i šta prima.
Ključno je da ništa od ovoga ne narušava normalno ponašanje koje programeri očekuju. Čini se da zvanična funkcionalnost i dalje ispravno radi, botovi nastavljaju da reaguju, automatizacija se izvršava kao i obično, a WhatsApp sesije ostaju stabilne. Zlonamjerni softver jednostavno dodaje ono što je jedan istraživač opisao kao „Drugi, nevidljivi primalac za sve“, što otkrivanje slučajnim posmatranjem čini izuzetno malo vjerovatnim.
Sve se ovo pokreće uobičajenom upotrebom API-ja. Nema potrebe da žrtva pokreće dodatne naredbe ili omogućava posebne zastavice; Autentifikacija i rutinska obrada poruka su dovoljni za aktiviranje mogućnosti špijuniranja, što je jedan od razloga zašto je kampanja uspjela djelovati neotkriveno mjesecima.
Prikriveni pristup putem stražnjih vrata: uparivanje uređaja napadača
Pored krađe podataka, lotusbail uvodi i podmukliju mogućnost: on tiho uparuje uređaj kojim upravlja napadač sa WhatsApp računom žrtveOvo koristi isti tijek rada za uparivanje više uređaja na koji se legitimni korisnici oslanjaju za povezivanje dodatnih telefona ili desktop računara sa svojim računom.
Tokom procesa prijave, zlonamjerni softver pokreće skrivenu rutinu uparivanja. Istraživači izvještavaju da kod generira nasumični niz od osam znakova i unosi ga u WhatsAppov mehanizam za povezivanje uređaja, preuzimajući standardni proces pomoću čvrsto kodiranog toka uparivanja ugrađenog u zlonamjerni paket.
Nakon što se to uparivanje završi, uređaj napadača efektivno postaje još jedan ovlašteni klijent na ciljnom računu. Od tada nadalje, Akteri prijetnji mogu čitati i slati poruke, pregledavati kontakte i pristupati medijima kao da su vlasnici računa – i to mogu učiniti bez oslanjanja na prisutnost originalnog, zlonamjernog paketa.
To je ono što napadu daje njegovu upornost. Čak i ako programer koji je svjestan sigurnosti uočava sumnjivu zavisnost i uklanja je iz projekta, kompromitacija se ne poništava automatski. Zlonamjerni npm kod možda više ne postoji, ali povezani uređaj napadača ostaje aktivan sve dok se eksplicitno ne ukloni sa WhatsApp-ove liste pouzdanih sesija.
Stručnjaci naglašavaju da ova karakteristika čini incident više od obične infekcije na nivou paketa: pretvara pogrešan korak NPM-a u potpuno preuzimanje računa koje opstaje i nakon čišćenja, i može nastaviti izlagati krajnje korisnike riziku dugo nakon što je ranjivi softver ažuriran.
Šta tačno zlonamjerni softver krade – i kako to skriva
Tehničke bilješke Koi Securityja i drugih istraživača detaljno prikazuju prikupljene podatke. Paket lotusbail je programiran da prikupiti razne osjetljive WhatsApp artefakte, daleko više od samih tijela poruka.
Među ciljanim stavkama su tokeni za autentifikaciju, ključevi sesije i kodovi za uparivanje koristi se za održavanje veze između klijenata i WhatsApp servera. S njima u rukama, napadači mogu ponovo kreirati ili održavati sesije čak i ako se određeni uređaji ponovo pokrenu ili softver ponovo instalira.
Zlonamjerni softver također povlači potpune liste kontakata i članstva u grupama, što omogućava akterima prijetnji da mapiraju društveni graf žrtve, identificiraju visokovrijedne mete ili se usmjere prema dodatnim računima. U kombinaciji sa sadržajem poruke, ovo daje protivnicima širok uvid u odnose, poslovne procese i privatne razgovore.
Datoteke razmijenjene putem WhatsAppa su slično izložene. Kako omotač vidi svaki WebSocket okvir, može snimanje metapodataka i korisnih podataka za fotografije, videozapise, glasovne bilješke i dokumente prije nego što ih klijent dešifrira i renderira. Taj materijal se zatim priprema za eksfiltraciju na servere koje kontroliraju napadači.
Da bi se izbjeglo direktno otkrivanje na nivou mreže, paket koristi potpuna, prilagođena implementacija RSA enkripcijePrije nego što napuste kompromitovano okruženje, svi snimljeni podaci se lokalno šifriraju, što znači da sistemi za detekciju upada ili mrežni monitori koji se oslanjaju na dubinsku inspekciju paketa neće vidjeti ništa više od neprozirnih šifriranih blobova koji se kreću prema udaljenim krajnjim tačkama.
Osim toga, zlonamjerni softver uključuje odbrana protiv otklanjanja grešaka usmjerena na frustriranje sigurnosnih analitičaraIzvještaji opisuju logiku koja detektuje uobičajene scenarije otklanjanja grešaka ili analize i reaguje tako što ubacuje kod u beskonačnu petlju, efektivno zaključavajući proces i znatno otežavajući dinamičku inspekciju.
Trajan rizik čak i nakon deinstalacije npm paketa
Jedan od kontraintuitivnih aspekata ovog incidenta je taj što Uklanjanje zlonamjerne zavisnosti iz projekta ne osigurava automatski pogođene WhatsApp račune.Trajna veza kreirana procesom uparivanja osigurava da pristup napadača preživi deinstalaciju.
Sigurnosni timovi ističu da Lotusbail koristi prednosti WhatsAppovog modela za više uređaja: nakon što je uređaj uspješno povezan, nastavlja primati poruke i ažuriranja računa sve dok vlasnik ručno ne opozove tu uslugu u postavkama aplikacije. Ne postoji automatsko istek vremena vezano za životni ciklus npm paketa ili aplikacije za hosting.
Kao rezultat toga, čak i marljivi programeri koji identificiraju i izbrišu biblioteku mogu ostaviti svoje korisnike izloženima ako ih također ne upute da pregledajte listu povezanih uređaja unutar WhatsAppaSvaka nepoznata sesija koja se pojavljuje na toj listi treba odmah biti prekinuta.
Istražitelji naglašavaju da ova nijansa mijenja način na koji organizacije trebaju razmišljati o sanaciji. Više nije dovoljno uklonite zlonamjerni kod iz cjevovoda za izgradnju i serveraOdgovor na incident mora se proširiti i na ekosistem aplikacije s kojim je kod komunicirao – u ovom slučaju, na WhatsApp račune koji su bili povezani s kompromitovanim sesijama.
U praktičnom smislu, pogođeni projekti će možda morati obavijesti korisnike i rotiraj WhatsApp pristupne podatke, ponovo uspostavite sesije putem poznatih dobrih alata i provjerite da nijedan uređaj kojim upravlja napadač nije ovlašten ni na jednom računu koji se koristi u produkciji ili testiranju.
Ko je otkrio Lotusbail i kako je istražen
Kampanja je izašla na vidjelo zahvaljujući Koi Security, koju vodi istraživač Tuval Admoni, koji je objavio detaljan pregled ponašanja paketa. Dodatni komentar istraživača Idan Dardikman pomoglo je u razjašnjavanju da se zlonamjerni softver ponaša kao prozirni omotač oko WebSocket klijenta, aktivirajući se čim započne normalna autentifikacija i tok poruka.
Admoni je prijetnju sažeo u otvorenim riječima: Paket krade WhatsApp pristupne podatke, presreće svaku poruku, prikuplja kontakte, instalira trajnu backdoor i šifrira sve prije slanja. na server kojim upravlja napadač. Ta kombinacija prikrivenosti, širine i upornosti je ono što ovo podiže od obične smetnje do ozbiljnog incidenta u lancu snabdijevanja.
Sama statička analiza pokazala se neadekvatnom za označavanje rizika. Budući da kodna baza otkriva iste interfejse i osnovno ponašanje kao i legitimne biblioteke, Signali zasnovani na reputaciji, kao što su broj preuzimanja, ocjene zvjezdicama ili osnovno "linting", malo pomažu u razlikovanju od originalnog alata.Paket je uspio opstati na vidljivom mjestu uprkos zlonamjernim dodacima.
Istraživači su također primijetili da Tehnike anti-analize ugrađene u zlonamjerni softver usporile su reverzni inženjering, što je zahtijevalo pažljiviju instrumentaciju i testiranje u sandboxu kako bi se u potpunosti mapirale njene mogućnosti. Do trenutka objavljivanja izvještaja, kampanja je već imala nekoliko mjeseci operativnog rada.
Slučaj se brzo pridružio rastućoj listi napada zasnovanih na npm-u koji ističu kako Otvoreni registri paketa postali su glavno područje za prijetnje lancu snabdijevanjaIako platforme mogu reagovati uklanjanjem poznatih loših paketa, početni teret otkrivanja često i dalje pada na nezavisne sigurnosne timove i budne programere.
Širi talas zlonamjernog softvera u lancu snabdijevanja usmjerenog na programere
Otkriće lotusbaila poklopilo se s otkrićima o drugi zlonamjerni paketi usmjereni na ekosisteme programera, naglašavajući da je ovaj incident dio šireg trenda, a ne jednokratna anomalija.
U paralelnom istraživanju, sigurnosna firma ReversingLabs detaljno je opisala skupinu 14 lažnih NuGet paketa koji se lažno predstavljaju kao Nethereum i druge biblioteke povezane s kriptovalutama u .NET svijetu. Slično kao i u slučaju WhatsApp npm-a, ovi paketi su dizajnirani da se uklope u legitimne alate koje koriste programeri koji rade s blockchainom i digitalnom imovinom.
Prema tim nalazima, NuGet paketi preusmjerio sredstva iz transakcija kriptovalutama na novčanike koje kontroliraju napadači ili tiho izdvajali privatne ključeve i sjemenske fraze kad god bi transferi premašili 100 američkih dolara. Nazivi paketa kao što su „binance.csharp“, „Bitcoin Core“, „bitapi.net“, „coinbase.api.net“, „googleads.api“, „nbitcoin.unified“, „nethereumnet“, „nethereumunified“, „nethereum.all“, „solananet“, „solnetall“, „solnetall.net“, „solnetplus“ i „solnetunified“ su kreirani da evociraju dobro poznate alate i usluge.
Kako bi izgradili povjerenje, operateri koji stoje iza ovih biblioteka navodno napuhana statistika preuzimanja i forsirana česta ažuriranja simulirati aktivno održavanje i popularnost. Ovaj sloj socijalnog inženjeringa odražava način na koji se Lotusbail oslanjao na vidljivost npm-a i reputaciju Baileys projekta kako bi dobio na značaju.
Stručnjaci iz oba istraživačka tima slažu se oko iste tačke: Napadi na razvojne programere u lancu snabdijevanja ne jenjavaju; postaju sve sofisticiranijiProtivnici su naučili ciljati upravo one alate od kojih inženjeri zavise svaki dan, bilo da se radi o integracijama poruka, finansijskim operacijama ili općoj infrastrukturi.
Zašto se konvencionalne odbrane bore s prijetnjama lanca snabdijevanja NPM-om
Lotusbail također ističe ograničenja mnogih trenutnih odbrana koje se koriste za zaštitu softverskih procesa. Tradicionalni pristupi kao što su statičko skeniranje koda, osnovno linting, jednostavne provjere potpisa i metrike reputacije često su podešeni da uoče očigledne crvene zastavice, ali lako mogu previdjeti suptilnu zlonamjernu logiku ugrađenu u inače ispravne pakete.
Budući da biblioteka vjerno implementira očekivanu površinu WhatsApp Web API-ja, Automatizovani alati možda neće vidjeti ništa više od blago izmijenjenog forka (forka) repozitorija za koji se zna da je dobar.Čak ni ručne provjere na licu mjesta možda neće odmah otkriti opasnost, posebno kada je štetni kod isprepleten s legitimnim mrežnim i šifrirnim rutinama.
Sistemi zasnovani na reputaciji ovdje ne prolaze bolje. Mnoge organizacije podsvjesno izjednačavaju veliki broj preuzimanja i česta ažuriranja sa sigurnošću, ali u ovom slučaju ti signali su ili prirodno akumulirani tokom vremena ili ih je napadač mogao vještački pojačati. Popularnost ne garantuje integritet kada bilo ko može objaviti sličan paket sa uvjerljivim opisom.
Sloj protiv otklanjanja grešaka dodatno komplikuje dinamičku analizu. Nakon što paket može otkriti da je izvršavanje pod instrumentacijom ili priključenje na debugger, a zatim pokretanje beskonačnih petlji ili rušenja sistema, automatizirani sandboxovi imaju poteškoća s dobivanjem potpunog profila ponašanja. To, zauzvrat, usporava kreiranje potpisa i javno objavljivanje.
Ovi izazovi ukazuju na potrebu za robusnije, na ponašanje orijentisano praćenje u produkcijskim okruženjima, gdje se sumnjivi mrežni tokovi, neočekivani obrasci šifriranja ili anomalni pristup podacima mogu označiti čak i ako statičke provjere prvobitno odobre paket.
Šta programeri i organizacije mogu učiniti upravo sada
Specijalisti za sigurnost koji su istraživali incident u Lotusbailu naglašavaju da Programeri bi trebali tretirati pakete trećih strana kao nepouzdan kod, čak i kada dolaze iz velikih registara poput npm-a.Praktični koraci mogu pomoći u smanjenju izloženosti sličnim prijetnjama u budućnosti.
Prvo, timovi se podstiču da provjeriti porijeklo kritičnih zavisnostiTo uključuje provjeru službene dokumentacije ili repozitorija za preporučena imena paketa, provjeru identiteta izdavača i, kad god je to moguće, preferiranje biblioteka koje održavaju dobro etablirane organizacije ili poznati održavatelji.
Drugo, stručnjaci preporučuju dodavanje monitoringa tokom izvođenja i detekcije anomalija oko osjetljivih integracija kao što su API-ji za razmjenu poruka, moduli za plaćanje ili kriptografski alati. Neobične odlazne veze, neočekivana aktivnost šifriranja ili tokovi podataka koji nisu u skladu s dokumentiranim ponašanjem mogu biti rani znakovi kompromitirane ovisnosti.
Treće, organizacije bi trebale održavati popis svih paketa trećih strana koji se koriste i praćenje promjena tokom vremenaZakačivanje verzija, pregled dnevnika promjena i izvođenje sigurnosnih procjena prije većih nadogradnji može pomoći u otkrivanju problematičnog koda prije nego što dođe do produkcije.
Konačno, u slučajevima gdje su se WhatsApp integracije oslanjale na zlonamjernu npm biblioteku, odgovor na incident trebao bi ići dalje od čišćenja koda. Pogođene korisnike treba uputiti na Otvorite postavke WhatsAppa, pregledajte povezane uređaje i uklonite sve nepoznate sesijeBez tog koraka, upareni uređaj napadača može i dalje imati puni pristup razgovorima i sadržaju.
Epizoda sa Lotusbailom služi kao oštar podsjetnik na to Vjerovanje paketu zato što izgleda poznato, ima hiljade preuzimanja ili imitira popularni projekat više nije dovoljnoS obzirom na to da napadači sve više ciljaju ekosisteme programera, pažljiva provjera zavisnosti i blisko posmatranje ponašanja tokom izvođenja programa postali su ključni dijelovi održavanja WhatsApp računa – i aplikacija izgrađenih oko njih – zaista sigurnim.
