1781 подписчик

Вредоносный пакет API WhatsApp похищает сообщения и захватывает учётные записи

23 декабря 202523 дек 2025

2 мин

Вредоносный пакет npm с более чем 56 000 загрузок маскируется под рабочую библиотеку WhatsApp Web API, а затем крадет сообщения, собирает учетные данные и контакты, а также угоняет учетные записи WhatsApp пользователей. По данным Koi Security, пакет npm lotusbail был доступен для загрузки в течение шести месяцев и особенно опасен, поскольку код действительно работает. «Этот пакет действительно функционирует как API WhatsApp», — заявил в воскресной публикации исследователь Koi Security Туваль Адони. «Он основан на легитимной библиотеке Baileys и предоставляет реальную, работающую функциональность для отправки и получения сообщений WhatsApp». Помимо заявленной функциональности, секретная библиотека, являющаяся форком легитимного пакета @whiskeysockets/baileys, использует WebSocket для связи с WhatsApp. Однако это означает, что вся коммуникация WhatsApp проходит через обертку сокета, что позволяет ей захватывать ваши учетные данные при входе в систему и перехватывать сообщения по мере

По данным Koi Security, пакет npm lotusbail был доступен для загрузки в течение шести месяцев и особенно опасен, поскольку код действительно работает.

«Этот пакет действительно функционирует как API WhatsApp», — заявил в воскресной публикации исследователь Koi Security Туваль Адони. «Он основан на легитимной библиотеке Baileys и предоставляет реальную, работающую функциональность для отправки и получения сообщений WhatsApp».

Помимо заявленной функциональности, секретная библиотека, являющаяся форком легитимного пакета @whiskeysockets/baileys, использует WebSocket для связи с WhatsApp.

Однако это означает, что вся коммуникация WhatsApp проходит через обертку сокета, что позволяет ей захватывать ваши учетные данные при входе в систему и перехватывать сообщения по мере их отправки и получения.

«Все ваши токены аутентификации WhatsApp, каждое отправленное или полученное сообщение, полные списки контактов, медиафайлы — всё, что проходит через API, дублируется и готовится к эксфильтрации», — написал Адони.

Вредоносное ПО также использует собственную реализацию RSA для шифрования данных, плюс четыре уровня обфускации — манипуляцию Unicode, сжатие LZString, кодировку Base-91 и шифрование AES — перед отправкой украденной информации на сервер, контролируемый злоумышленником.

Кроме того, оно создает бэкдор в учетной записи WhatsApp пользователя через процесс сопряжения устройств в чат-приложении, связывая устройство злоумышленника с устройством жертвы. Это означает, что даже после удаления вредоносного пакета npm устройство злоумышленника может оставаться связанным с учетной записью WhatsApp ничего не подозревающего пользователя.

Этот последний «отравленный» пакет иллюстрирует постоянно растущий риск для цепочек поставок и следует за несколькими случаями криптовалютных, кражи учетных данных и других кражи секретов библиотек npm, а также ботов, наводняющих реестр спамными пакетами в рамках масштабных кампаний по сбору токенов.

The Register недавно поговорил с соучредителем и генеральным директором Tea Тимом Льюисом об этих инцидентах после того, как более 150 000 вредоносных пакетов npm, связанных с кампанией по сбору токенов Tea, вынудили основателей прекратить выплату вознаграждений в рамках программы стимулирования и переработать протокол перед запуском основной сети в начале 2026 года.

«Я рассматриваю это как канарейку в угольной шахте», — сказал Льюис. «Когда вы являетесь деструктивной организацией… существует стимул использовать эту же технику для атаки на \[цепочки поставок\]. Поэтому нам нужно исправить ядро». ®

(\*) Имейте ввиду, редакции некоторых западных изданий придерживаются предвзятых взглядов в освящении некоторых новостей, связанных с Россией. Кроме того, IT издания часто пропагандирует леволиберальные и антриреспубликанские взгляды в освящении некоторых новостей.

https://dgnews.ru/vredonosnyj-paket-api-whatsapp-pohishhaet-soobshheniya-i-zahvatyvaet-uchyotnye-zapisi/