Siber güvenlik araştırmacıları, npm deposunda yer alan ve tamamen işlevsel bir WhatsApp API’si olarak çalışan, ancak aynı zamanda her mesajı ele geçirme ve saldırganın cihazını kurbanın WhatsApp hesabına bağlama yeteneğini de içeren yeni bir kötü amaçlı paketin ayrıntılarını açıkladı.
“Lotusbail” isimli paket, “seiren_primrose” adlı kullanıcı tarafından ilk kez Mayıs 2025’te kayıt defterine yüklendiğinden bu yana 56.000’den fazla indirildi. Bunlardan 711’i geçtiğimiz hafta içinde gerçekleşti. Kitaplık, yazının yazıldığı an itibarıyla hâlâ indirilmeye hazırdır.
Koi Güvenlik araştırmacısı Tuval Admoni, hafta sonu yayınlanan bir raporda, işlevsel bir araç kisvesi altında kötü amaçlı yazılımın “WhatsApp kimlik bilgilerinizi çaldığını, her mesajı ele geçirdiğini, kişilerinizi topladığını, kalıcı bir arka kapı kurduğunu ve tehdit aktörünün sunucusuna göndermeden önce her şeyi şifrelediğini” söyledi.
Özellikle, kimlik doğrulama belirteçlerini ve oturum anahtarlarını, mesaj geçmişini, telefon numaralarını içeren kişi listelerinin yanı sıra medya dosyalarını ve belgeleri yakalayacak donanıma sahiptir. Daha da önemlisi, kitaplık, WhatsApp Web API’si ile etkileşime geçmek için meşru bir WebSockets tabanlı TypeScript kitaplığı olan @whiskeysockets/baileys’den ilham almıştır.
Bu, kimlik doğrulama bilgilerinin ve mesajların yönlendirildiği, böylece kimlik bilgilerinin ve sohbetlerin yakalanmasına olanak tanıyan kötü amaçlı bir WebSocket sarmalayıcı aracılığıyla gerçekleştirilir. Çalınan veriler, saldırgan tarafından kontrol edilen bir URL’ye şifrelenmiş biçimde iletilir.
Saldırı burada bitmiyor, çünkü paket aynı zamanda sabit kodlu bir eşleştirme kodu kullanarak cihaz bağlama sürecini ele geçirerek kurbanın WhatsApp hesabına kalıcı erişim sağlamaya yönelik gizli bir işlevsellik de barındırıyor.
Admoni, “Kimlik doğrulamak için bu kitaplığı kullandığınızda, yalnızca uygulamanızı değil aynı zamanda tehdit aktörünün cihazını da bağlarsınız” dedi. “WhatsApp hesabınıza tam ve kalıcı erişimleri var ve orada olduklarına dair hiçbir fikriniz yok.”
Cihazlarını hedefin WhatsApp’ına bağlayarak, yalnızca kişilerin kişilerine ve konuşmalarına sürekli erişim sağlamakla kalmaz, aynı zamanda tehdit aktörünün cihazının, uygulamanın ayarlarına gidilerek bağlantısı kesilene kadar WhatsApp hesabına bağlı kalması koşuluyla, paket sistemden kaldırıldıktan sonra bile kalıcı erişime olanak tanır.
Koi Security’den Idan Dardikman, The Hacker News’e, geliştiricinin WhatsApp’a bağlanmak için kütüphaneyi kullanması durumunda kötü amaçlı etkinliğin tetiklendiğini söyledi.
Dardikman, “Kötü amaçlı yazılım WebSocket istemcisini sarıyor, bu nedenle kimlik doğrulaması yapıp mesaj göndermeye/almaya başladığınızda müdahale devreye giriyor” dedi. “API’nin normal kullanımının ötesinde özel bir işleve gerek yok. Arka kapı eşleştirme kodu, kimlik doğrulama akışı sırasında da etkinleşiyor; böylece uygulamanızı WhatsApp’a bağladığınız anda saldırganın cihazı bağlanıyor.”
Ayrıca, “lotusbail”, hata ayıklama araçları algılandığında sonsuz bir döngü tuzağına girmesine ve yürütmenin donmasına neden olan hata ayıklama önleme yetenekleriyle donatılmıştır.
Koi, “Tedarik zinciri saldırıları yavaşlamıyor, daha iyiye gidiyor” dedi. “Geleneksel güvenlik bunu yakalayamıyor. Statik analiz, çalışan WhatsApp kodunu görüyor ve onaylıyor. İtibar sistemleri 56.000 indirme gördü ve buna güveniyor. Kötü amaçlı yazılım, ‘bu kod çalışıyor’ ile ‘bu kod yalnızca iddia ettiği şeyi yapıyor’ arasındaki boşlukta saklanıyor.”
Kötü Amaçlı NuGet Paketleri Kripto Ekosistemini Hedefliyor
Açıklama, ReversingLabs’ın, Ethereum merkezi olmayan blok zinciri için bir .NET entegrasyon kütüphanesi olan Nethereum’u taklit eden 14 kötü amaçlı NuGet paketinin ayrıntılarını ve transfer tutarı 100 doları aştığında işlem fonlarını saldırganın kontrolündeki cüzdanlara yönlendirmek veya özel anahtarları ve tohum cümlelerini sızdırmak için kripto para birimiyle ilgili diğer araçları paylaştığının ardından geldi.
Sekiz farklı hesaptan yayınlanan paketlerin isimleri aşağıda listelenmiştir:
- binance.csharp
- bitcoincore
- bybitapi.net
- coinbase.net.api
- googleads.api
- nbitcoin.unified
- Nethereumnet
- Nethereumunified
- nethereum.all
- solananet
- solnetall
- solnetall.net
- Solnetplus
- solnetle birleştirilmiş
Paketler, indirme sayılarını şişirmek ve aktif olarak sürdürüldüğü izlenimini vermek için kısa bir süre içinde düzinelerce yeni sürümü yayınlamak da dahil olmak üzere, kullanıcıları güvenliğe dair yanlış bir güven duygusuna sürüklemek için çeşitli tekniklerden yararlandı. Kampanyanın tarihi Temmuz 2025’e kadar uzanıyor.
Kötü amaçlı işlevsellik, yalnızca paketler geliştiriciler tarafından yüklendiğinde ve belirli işlevler diğer uygulamalara yerleştirildiğinde tetiklenecek şekilde enjekte edilir. Paketler arasında dikkat çeken, cüzdan veri sırlarını dışarı çıkarmak yerine Google Ads OAuth bilgilerini çalmaya odaklanan GoogleAds.API’dir.
ReversingLabs, “Bu değerler son derece hassastır çünkü bir Google Ads hesabına tam programlı erişime izin verirler ve sızdırılırsa saldırganlar kurbanın reklam istemcisinin kimliğine bürünebilir, tüm kampanya ve performans verilerini okuyabilir, reklam oluşturabilir veya değiştirebilir ve hatta kötü niyetli veya hileli bir kampanyaya sınırsız para harcayabilir.” dedi.