Zararlı NPM Paketi WhatsApp Hesaplarını Ele Geçiriyor: Mesajlar ve Kişiler Sızdırılıyor
NPM deposunda yer alan ve WhatsApp Web API kütüphanesi gibi görünen zararlı bir paket, kullanıcıların WhatsApp hesaplarına erişerek mesajları, kişileri ve medya dosyalarını çalıyor. Güvenlik araştırmacıları, altı aydır yayında olan paketin on binlerce kez indirildiğini açıkladı.
Node Package Manager (NPM) kayıtlarında bulunan “lotusbail” adlı zararlı bir paketin, WhatsApp Web API kütüphanesi gibi davranarak WhatsApp hesaplarını ele geçirdiği ortaya çıktı. Tedarik zinciri güvenlik şirketi Koi Security tarafından yapılan analize göre, paket popüler WhiskeySockets Baileys projesinin bir çatallanması olarak sunuluyor ve meşru işlevleri yerine getirirken arka planda kapsamlı veri hırsızlığı gerçekleştiriyor.
Araştırmacılar, lotusbail paketinin en az altı aydır NPM üzerinde yayımlandığını ve bu süre içinde 56 binden fazla indirildiğini tespit etti. Paket, WhatsApp oturum anahtarlarını ve kimlik doğrulama token’larını ele geçirmenin yanı sıra gönderilen ve alınan tüm mesajları kaydedebiliyor, kişi listelerini, medya dosyalarını ve belgeleri dışarı aktarabiliyor.
“Tüm Mesaj Trafiği Önce Zararlı Koddan Geçiyor”
Koi Security raporunda, “Paket, WhatsApp ile iletişim kuran meşru WebSocket istemcisini sarmalıyor. Uygulamanızdan geçen her mesaj önce zararlının soket sarmalayıcısından geçiyor.” ifadeleri yer aldı. Açıklamada, kimlik doğrulama sırasında kullanıcı bilgilerinin yakalandığı, gelen mesajların dinlendiği ve gönderilen mesajların kaydedildiği vurgulandı.
Ele geçirilen verilerin, özel bir RSA şifreleme uygulaması, Unicode tabanlı gizleme teknikleri, LZString sıkıştırma ve AES şifreleme gibi çok katmanlı gizleme yöntemleri kullanılarak saldırganlara iletildiği belirtildi.
Kalıcı Erişim Sağlayan Cihaz Eşleştirme
Raporda dikkat çeken bir diğer unsurun, zararlı paketin WhatsApp cihaz eşleştirme sürecini kötüye kullanması olduğu ifade edildi. Bu yöntemle saldırganın kendi cihazını mağdurun WhatsApp hesabına bağladığı ve paket sistemden kaldırıldıktan sonra bile hesaba kalıcı erişimin sürdüğü kaydedildi. Erişimin ancak WhatsApp ayarlarından bağlı cihazların manuel olarak kaldırılmasıyla sonlandırılabildiği aktarıldı.
Analizi Zorlaştıran Tuzaklar
Koi Security, lotusbail paketinde 27 adet sonsuz döngü tuzağı bulunduğunu ve bunun hata ayıklama ile analiz süreçlerini zorlaştırdığını açıkladı. Bu karmaşık yapı sayesinde zararlının uzun süre tespit edilmeden yayında kalabildiği değerlendirildi.
Geliştiricilere Kritik Uyarı
Uzmanlar, lotusbail paketini kullanan geliştiricilerin derhal paketi sistemlerinden kaldırmalarını ve WhatsApp hesaplarındaki bağlı cihazları kontrol etmelerini önerdi. Koi Security, yalnızca kaynak kodu incelemenin yeterli olmadığını, yeni bağımlılıkların çalışma zamanı davranışlarının, özellikle kimlik doğrulama sırasında oluşan beklenmedik ağ bağlantılarının yakından izlenmesi gerektiğini vurguladı.
Ajans Expres Gazetesi
Tepkiniz Nedir?
