UNSPLASH/ALEXANDER SHATOV - Arquivo
MADRI 23 dez. (Portaltic/EP) -
Um pacote malicioso do Node Package Manager (npm) para o WhatsApp Web permite que agentes mal-intencionados acessem mensagens, arquivos de mídia, contatos e senhas dos usuários de forma indetectável, mascarando-se como uma biblioteca legítima que já tem 56.000 downloads.
O serviço npm é um gerenciador de pacotes de software usado por desenvolvedores de JavaScript que publicam pacotes para várias funções. Entre os pacotes publicados, foi identificado um que se disfarça como uma biblioteca legítima da API Web do WhatsApp, mas que, na verdade, inclui código malicioso.
Esse pacote é uma bifurcação do projeto WhiskeySockets Baileys, que fornece funções para a criação de bots ou automações no WhatsApp Web destinadas a uso posterior no aplicativo.
No entanto, lançado sob o nome 'lotusbail', esse pacote identificado pela empresa de segurança Koi Security também oferece a capacidade de roubar tokens de autenticação do WhatsApp e chaves de sessão, bem como interceptar mensagens enviadas e recebidas para acessar seu conteúdo e roubar arquivos de mídia, como fotos, áudios e vídeos.
Especificamente, conforme explicado pelos pesquisadores de segurança em um comunicado, o pacote permite que as mensagens sejam roubadas porque afeta o cliente legítimo 'WebSocket' que se comunica com o WhatsApp e recebe todas as mensagens do aplicativo antes de
"Quando você se autentica, o contêiner captura suas credenciais. Quando as mensagens chegam, ele as intercepta. Quando você envia mensagens, ele as registra. A funcionalidade legítima continua funcionando normalmente; o malware simplesmente adiciona um segundo destinatário para tudo", explicou a empresa.
Além disso, os dados capturados são criptografados usando uma implementação RSA completa e personalizada, de modo que os dados sejam criptografados antes da exfiltração para que "o monitoramento da rede não os detecte".
Por outro lado, os agentes mal-intencionados também podem usar esse sistema para controlar a conta do usuário e acessar suas conversas de forma invisível. Isso ocorre porque o pacote é equipado com uma função maliciosa que vincula o dispositivo do invasor à conta do WhatsApp da vítima, por meio do processo de emparelhamento do dispositivo com a rede social.
Especificamente, é solicitado que uma sequência aleatória de 8 caracteres seja gerada, inserida no novo dispositivo e vinculada, pois o malware sequestra o processo com um código de emparelhamento criptografado.
Para impedir o acesso à conta, recomenda-se que os usuários verifiquem os dispositivos vinculados na seção "Configurações" e, se virem um dispositivo desconhecido, desvinculem-no automaticamente da conta.
Esse pacote de código malicioso está ativo há seis meses e, de acordo com pesquisadores de segurança cibernética, já tem 56.000 downloads no npm. Nesse contexto, eles recomendam que os desenvolvedores monitorem o comportamento da plataforma em tempo de execução para detectar atividades inesperadas e se o código malicioso está sendo usado.
Eles também alertaram que a desinstalação do pacote npm remove o código malicioso, mas o dispositivo do agente da ameaça permanece vinculado à conta do WhatsApp e deve ser desvinculado manualmente.
Esta notícia foi traduzida por um tradutor automático