Nicolai Busekist
Chokerende WhatsApp-angreb kan stjæle beskeder og endda overtage konti. Sådan beskytter du dig mod de nye angreb.
Brugere af Node Package Manager (NPM)-registret er i øjeblikket mål for malware, der kan overtage deres WhatsApp-konti, stjæle beskeder og kontaktlister, advarer eksperter.
Eksperterne fra Koi Security har for nylig opdaget en ondsindet fork af det populære WhiskeySockets Baileys-projekt.
Det er et TypeScript/JavaScript-bibliotek, der tilbyder et WebSocket-baseret API til at interagere med WhatsApp Web-protokollen, så udviklere kan forbinde programmæssigt til WhatsApp som en ledsagende enhed.
Denne fork – kaldet ‘lotusbail’ – har den samme funktionalitet som det legitime projekt, men stjæler samtidig WhatsApp-autentificeringstokens og sessionsnøgler.
Derudover opfanger og registrerer den alle beskeder, henter kontakter, mediefiler og alle andre dokumenter og sender dem til en tredjepartsserver. Det skriver TechRadar.
“Pakken indkapsler den legitime WebSocket-klient, der kommunikerer med WhatsApp. Hver eneste besked, der passerer gennem din applikation, går først gennem malwarens socket-wrapper,” forklarede Koi Security i sin rapport.
“Når du autentificerer, opfanger wrapperen dine legitimationsoplysninger. Når beskeder ankommer, opfanger den dem. Når du sender beskeder, registrerer den dem.”
Men måske mest alarmerende er, at pakken forbinder hackerens enhed med offerets WhatsApp-konto via appens paringsfunktion. Det betyder, at selv hvis offeret fjerner den ondsindede NPM-pakke, er deres WhatsApp-konto stadig kompromitteret, indtil forbindelsen manuelt fjernes.
Malwaren lå på NPM i mindst et halvt år, og i den periode nåede den at blive downloadet mere end 56.000 gange.
NPM er et af verdens mest populære offentlige online-registre, der huser JavaScript-pakker udgivet via NPM. Det giver udviklere mulighed for at finde, downloade og administrere open source- og private pakker, der bruges i Node.js- og JavaScript-projekter.
Som følge heraf bliver platformen konstant bombarderet med alle mulige svindelnumre og hackerangreb – fra kopierede projekter til bevidst fejlnavngivne pakker.
For at holde sig sikre rådes udviklere derfor til at være ekstra forsigtige, når de downloader og kører noget som helst. Det gælder også, selvom der er tale om projekter med tusindvis af downloads.
