“Lotusbail” adlı tehlikeli bir npm paketi, dünya çapında binlerce geliştiriciden WhatsApp mesajlarını ve kullanıcı verilerini çalıyor.
56.000’den fazla indirilen paket, arka planda gizlice kötü amaçlı yazılım çalıştırırken kendisini meşru bir WhatsApp Web API kitaplığı olarak gizler.
Kendisini güvenilir “@whiskeysockets/baileys” paketinin bir çatalı olarak sunuyor ve WhatsApp entegrasyon araçlarına ihtiyaç duyan geliştiriciler için güvenli görünmesini sağlıyor.
Kötü amaçlı yazılım özellikle tehlikelidir çünkü gerçekte reklamı yapıldığı gibi çalışır. Hızlı bir şekilde bozulan veya arızalanan çoğu kötü amaçlı paketin aksine lotusbail, WhatsApp mesajlarını göndermek ve almak için gerçek işlevsellik sunar.
Bu akıllı yaklaşım, kod incelemelerini geçmesine ve şüphe yaratmadan üretim sistemlerine dağıtılmasına olanak tanır. Geliştiriciler onu kurar, test eder, çalıştığını görür ve perde arkasında meydana gelen hırsızlığın farkına asla varmaz.
.webp)
Paket, npm’de altı ay boyunca aktif kaldı ve keşfedildiği sırada hâlâ mevcuttu.
Bu süre zarfında kimlik doğrulama jetonlarını, mesaj geçmişlerini, kişi listelerini, medya dosyalarını sessizce topluyor ve virüslü WhatsApp hesaplarına kalıcı arka kapı erişimini sürdürüyor.
Koi analistleri, paketin çalışma zamanı analizi sırasında olağandışı davranış kalıplarını tespit ettikten sonra karmaşık kötü amaçlı yazılım kampanyasını belirledi.
Çalınan bilgiler arasında tam WhatsApp oturum anahtarları, tüm geçmiş ve mevcut mesajlar, telefon numaralarını içeren tam iletişim rehberleri ve uygulama aracılığıyla paylaşılan tüm medya veya belgeler yer alıyor.
Kötü amaçlı yazılım, WhatsApp sunucularına bağlanan meşru WebSocket istemcisini sararak bu verileri yakalıyor ve esasen bağlantıdan geçen her şeyi kopyalayan bir ortadaki adam saldırısı yaratıyor.
Veri Hırsızlığı ve Şifreleme Mekanizması
Kötü amaçlı yazılım, çalınan verileri saldırganın sunucusuna göndermeden önce gizlemek için özel bir RSA şifreleme sistemi kullanıyor.
.webp)
Bu büyük bir tehlike işaretidir çünkü meşru WhatsApp kütüphaneleri hiçbir zaman ek şifrelemeye ihtiyaç duymaz çünkü WhatsApp zaten uçtan uca şifreleme sağlamaktadır.
Özel kripto katmanı yalnızca çalınan verileri şifrelemek için mevcuttur, böylece ağ izleme araçları hırsızlığı tespit edemez.
Süzme sunucusu adresi dört koruma katmanıyla gizlenir: Unicode değişken manipülasyonu, LZString sıkıştırması, Base-91 kodlaması ve AES şifrelemesi.
.webp)
Bu, çalınan verilerin nereye gönderildiğini takip etmeyi son derece zorlaştırır. Kötü amaçlı yazılım ayrıca AES ile şifrelenmiş sabit kodlu bir eşleştirme kodu kullanarak WhatsApp’ın cihaz eşleştirme sistemini de ele geçiriyor.
Bu, saldırganın kendi cihazını kurban hesaplarına bağlayabileceği ve kötü amaçlı paket sistemden kaldırıldıktan sonra bile onlara tam kontrol sağlayabileceği anlamına gelir.
Tespit edilmekten kaçınmak için paket, hata ayıklama araçları mevcut olduğunda etkinleşen ve güvenlik araştırmacıları için analizi son derece zorlaştıran 27 sonsuz döngü tuzağı içerir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
