Опасный npm-пакет lotusbail: бэкдор и компрометация аккаунтов WhatsApp

Исследователи обнаружили вредоносный npm‑пакет lotusbail, который выдаёт себя за легитимную библиотеку @whiskeysockets/baileys и был загружен более 56 000 раз. По оценке специалистов, это ПО предназначено для кражи учетных данных, перехвата сообщений и установки постоянного доступа к аккаунтам WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) — даже после удаления пакета.

Краткое содержание угрозы

lotusbail реализует «двойную» полезную нагрузку: он похищает токены аутентификации, сообщения и контакты жертвы, а также устанавливает связь с устройством злоумышленника для длительного доступа. Механизм закрепления (binding) позволяет злоумышленникам привязывать свои устройства к учетным записям жертв и сохранять доступ после удаления пакета, что требует ручных действий по восстановлению безопасности аккаунта.

Технический разбор

• Маскировка: имитация легитимной библиотеки @whiskeysockets/baileys для снижения вероятности раннего обнаружения.
• Функции злоумышленника: захват токенов аутентификации, чтение сообщений и контактов, установление постоянной связи с устройством жертвы.
• Сохранение доступа: механизм закрепления обеспечивает продолжительный контроль над аккаунтом даже после удаления пакета.
• Криптография: эксфильтрация данных реализована через пользовательский стек шифрования (RSA + AES).

Соответствие техникам MITRE ATT&CK

• T1552.001 — кража учетных данных: перехват через WebSocket (WebSocket interception).
• T1056.001 — сбор данных: перехват сообщений и контактов через оболочку API (API‑shell).
• T1027.010 — скрытность: продвинутая обфускация команд для избежания статического анализа.
• T1497.003 — защита от анализа: ловушки для защиты от отладки.
• Эксфильтрация: кастомный RSA + AES стек для передачи украденных данных.

Как была обнаружена угроза

Обнаружение произошло во время рутинного поведенческого анализа: внимание привлекла аномальная исходящая сетевая активность, свидетельствующая о вредоносном поведении. Традиционные сканеры уязвимостей не определили угрозу, поскольку lotusbail разработан для корректной работы приложений, а не для явной эксплуатации уязвимости — это затрудняет статическое обнаружение и подчёркивает важность мониторинга во время выполнения (runtime monitoring) и поведенческого анализа.

Это инцидент демонстрирует: статические проверки и привычные сканеры недостаточны — необходимы поведенческий анализ и защита во время выполнения.

Рекомендуемые немедленные меры

• Провести инвентаризацию пакетов: выявить и зафиксировать все установки lotusbail и зависимостей.
• Локализация и устранение: удалить пакет и все связанные с ним файлы, выполнить локализацию заражённых окружений.
• Восстановление учетных записей: удалить неизвестные устройства, подключенные к WhatsApp в период заражения, и сменить/пересмотреть механизмы аутентификации.
• Внедрить средства защиты во время выполнения (runtime protection) и усилить мониторинг сетевой активности.
• Ужесточить политику проверки пакетов (package verification), уделить повышенное внимание библиотекам для коммуникаций.

Стратегические улучшения на 30 дней

• Архитектурные корректировки: изоляция интеграции обмена сообщениями через отдельные микросервисы.
• Минимизация привилегий: использовать сервис‑аккаунты с ограниченными разрешениями для компонентов обмена сообщениями.
• Надёжный мониторинг: соотносить установки пакетов с необычным сетевым трафиком и поведением приложений.
• Регулярные поведенческие аудиты и внедрение детекторов аномалий на уровне приложений и сети.

Последствия инцидента

Последствия такого компрометации могут быть серьёзными:

• Потеря и утечка данных — сообщения, контакты, токены аутентификации.
• Постоянный доступ злоумышленников к аккаунтам пользователей даже после удаления ПО.
• Репутационный ущерб для организаций, использующих скомпрометированные библиотеки.
• Регуляторные риски и возможные штрафы, особенно если речь идёт о конфиденциальной или защищённой информации.

Вывод

Инцидент с lotusbail — наглядный пример современной целенаправленной атаки через цепочку поставок: маскировка под легитимную библиотеку, использование продвинутых техник обфускации и обеспечение устойчивого доступа. Он подчёркивает необходимость перехода от исключительно статической проверки пакетов к комплексной стратегии безопасности, включающей поведенческий анализ, защиту во время выполнения, изоляцию критичных интеграций и строгий контроль за сторонними библиотеками.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Опасный npm-пакет lotusbail: бэкдор и компрометация аккаунтов WhatsApp".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.