Atenție, utilizatori WhatsApp! Un program fraudulent a afectat mii de conturi

Atenție, utilizatori WhatsApp! Un program fraudulent a afectat mii de conturi

Descoperirea pachetului malițios

Un pachet software distribuit pe platforma npm, utilizată frecvent de dezvoltatorii JavaScript, a fost identificat ca un instrument de acces neautorizat la conturile WhatsApp Web. Mii de utilizatori au descărcat această bibliotecă, crezând că este o unealtă oficială pentru automatizări, fără a bănui că include componente capabile să preia controlul asupra sesiunilor lor. Biblioteca era prezentată ca un modul pentru WhatsApp Web API, dar integra funcții ascunse pentru colectarea datelor sensibile ale utilizatorilor.

Cum acționează pachetul malițios

Codul din acest modul provine dintr-un proiect open-source destinat dezvoltării de boți pentru WhatsApp. Sub denumirea „lotusbail”, pachetul oferea funcții de automatizare, dar captura în fundal tokenuri de autentificare, chei de sesiune și conținutul mesajelor. Traficul dintre utilizator și WhatsApp Web era interceptat, mesajele și datele de autentificare fiind copiate și trimise către serverele atacatorilor. Informațiile erau criptate cu un mecanism RSA modificat pentru a evita detectarea activității suspecte.

Acces complet la cont prin asocierea unui dispozitiv extern

O funcție periculoasă a pachetului era abilitatea de a conecta un dispozitiv suplimentar la contul victimei. Modulul genera un cod scurt utilizat de atacator pentru a-și asocia dispozitivul la contul WhatsApp al utilizatorului, prin procedura oficială de „Linked Devices”. Acest proces se desfășura în fundal, fără notificări vizibile, făcând accesul neautorizat greu de observat.

Măsuri de protecție pentru utilizatori

Experții în securitate recomandă următoarele măsuri esențiale:

• Verificarea periodică a dispozitivelor conectate la contul WhatsApp din meniul „Setări”.
• Eliminarea imediată a oricărui dispozitiv necunoscut.
• Dezinstalarea pachetului malițios, dacă a fost utilizat în proiecte software.
• Ruperea manuală a sesiunilor asociate, deoarece simpla dezinstalare nu anulează accesul atacatorului.

Pachetul a fost activ timp de aproximativ jumătate de an și a fost descărcat de peste 56.000 de ori, ceea ce sugerează un număr semnificativ de conturi expuse.

Consecințe și importanța verificării bibliotecilor

Incidentul evidențiază cât de ușor poate fi exploatată încrederea în bibliotecile open-source și necesitatea unei verificări atente a pachetelor instalate. În cazul WhatsApp, consecințele sunt grave, având în vedere că accesul la mesaje și fișiere poate rămâne invizibil pentru utilizatori pentru o perioadă îndelungată.

Acest incident subliniază necesitatea de a fi vigilent în fața amenințărilor cibernetice și importanța securității datelor personale.