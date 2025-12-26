Pachetul periculos a fost identificat pe Node Package Manager (npm), o platformă larg utilizată de dezvoltatorii JavaScript pentru distribuirea bibliotecilor software. Deși se prezintă ca o bibliotecă legitimă pentru WhatsApp Web API, acesta conține în realitate funcții ascunse de spionaj, relatează El Economista.

Codul reprezintă o bifurcație a proiectului WhiskeySockets Baileys, folosit în mod obișnuit pentru dezvoltarea de boți și soluții de automatizare pentru WhatsApp Web. Publicat sub denumirea „lotusbail”, pachetul a fost descoperit de compania de securitate Koi Security și oferă capabilități mult peste cele declarate oficial, incluzând funcții ascunse de monitorizare și acces neautorizat.

Pe lângă funcțiile de automatizare, pachetul permite furtul tokenurilor de autentificare și al cheilor de sesiune WhatsApp. Totodată, poate intercepta mesajele trimise și primite, oferind acces integral la conversații și la fișierele multimedia, inclusiv fotografii, mesaje audio și videoclipuri.

Cercetătorii în securitate au explicat că pachetul afectează clientul WebSocket legitim folosit de WhatsApp. Astfel, toate mesajele sunt capturate înainte de a fi procesate de aplicație. Datele furate sunt criptate cu o implementare personalizată RSA și transmise către atacatori, pentru a evita detectarea de către sistemele de monitorizare a rețelei.

„Când te autentifici, containerul îți capturează datele de autentificare. Când sosesc mesajele, le interceptează. Când trimiți mesaje, le înregistrează. Funcționalitatea legitimă continuă să funcționeze normal; malware-ul doar adaugă un al doilea destinatar pentru tot”, explică specialiștii.

Situația este cu atât mai gravă cu cât atacatorii pot obține control total asupra contului WhatsApp al victimei. Pachetul malițios include o funcție care permite conectarea unui dispozitiv extern la cont, folosind mecanismul oficial de asociere a dispozitivelor.

În acest proces este generată o secvență aleatorie de opt caractere, introdusă pe dispozitivul atacatorului, iar malware-ul deturnează asocierea prin intermediul unui cod preconfigurat. În acest fel, accesul la conversații rămâne complet invizibil pentru utilizator.

Specialiștii recomandă verificarea periodică a listei de dispozitive asociate contului WhatsApp, din meniul „Setări”. Orice dispozitiv necunoscut trebuie dezactivat imediat. Pachetul malițios este activ de aproximativ șase luni și a fost descărcat de peste 56.000 de ori de pe platforma npm. Deși dezinstalarea acestuia elimină codul periculos, legătura cu dispozitivul atacatorului nu este întreruptă automat și trebuie eliminată manual, altfel accesul neautorizat poate continua.