پژوهشگران امنیت سایبری از کشف بستهای آلوده در مخزن npm خبر دادهاند که با بیش از ۵۶ هزار بار دانلود، خود را بهعنوان یک کتابخانه کاربردی ایپیآی واتساپ معرفی میکرد اما در واقع پیامها، فهرست مخاطبان و توکنهای احراز هویت کاربران را سرقت میکرد.
به گزارش شرکت Koi Security، این بسته با نام lotusbail به مدت شش ماه بدون شناسایی در دسترس توسعهدهندگان بوده و نکته نگرانکننده این است که بهدرستی کار میکرد. به گفته تووال آدمونی، پژوهشگر این شرکت، این کتابخانه نسخهای دستکاریشده از کتابخانه معتبر whiskeysockets/baileys است که امکان ارسال و دریافت پیامهای واقعی از طریق واتساپ را فراهم میکند.
اما دقیقا به همین دلیل، تمامی پیامها و اطلاعات عبوری از این ایپیآی، از جمله توکنهای ورود، پیامهای ارسالشده و دریافتی، فهرست مخاطبان و حتی فایلهای چندرسانهای، از طریق یک WebSocket خاص جمعآوری و برای مهاجمان ارسال میشود.
این بدافزار از یک سیستم رمزگذاری پیچیده استفاده میکند که شامل رمزنگاری RSA اختصاصی، فشردهسازی با LZString، رمزگذاری با Base-91، رمزنگاری AES و همچنین تغییرات یونیکدی برای پنهانسازی عملکرد خود است. در نهایت، دادههای سرقتشده به یک سرور تحت کنترل مهاجم ارسال میشود.
از همه نگرانکنندهتر، این است که این بسته از سازوکار جفتسازی دستگاه در واتساپ سوءاستفاده میکند و دستگاه مهاجم را به حساب کاربر متصل نگه میدارد. حتی پس از حذف بسته آلوده، دستگاه مهاجم همچنان میتواند به حساب قربانی دسترسی داشته باشد.
این حمله بار دیگر خطرات امنیتی زنجیره تامین نرمافزارها را برجسته میسازد. در ماههای اخیر، دهها هزار بسته مخرب دیگر در مخزن npm ثبت شدهاند که اغلب با هدف سرقت رمزهای عبور، اطلاعات ارزهای دیجیتال یا اجرای کمپینهای استخراج توکن طراحی شدهاند.
تیم لوئیس، مدیرعامل پلتفرم Tea که بهتازگی مجبور به تعطیلی برنامه پاداشدهی خود به دلیل سوءاستفاده مهاجمان شده هشدار داده است: «زمانی که ابزارهای توسعه به این آسانی قابل سوءاستفاده هستند، باید بدانیم که گروههای مخرب انگیزه کافی برای هدفگیری زنجیره تامین نرمافزار دارند. وقت آن رسیده که ساختار این اکوسیستم را اصلاح کنیم.»
توضیحات بیشتر: