Безбедносни истражувачи открија злонамерен софтвер скриен во NPM пакет наречен „lotusbail“, кој се претставувал како библиотека за работа со WhatsApp Web API, а во позадина крадел сметки, пораки и други чувствителни податоци од корисниците.
Пакетот бил достапен во официјалниот NPM регистар најмалку шест месеци и бил преземен повеќе од 56.000 пати пред да биде отстранет. Експертите од Koi Security наведуваат дека „lotusbail“ изгледал легитимно и овозможувал комуникација со WhatsApp, но во исто време тајно собирал токени за автентикација, клучеви за сесија, пораки, контакти, мултимедијални датотеки и документи, кои ги испраќал до напаѓачите.
Особено загрижувачки е тоа што малициозниот софтвер им овозможувал на напаѓачите да го поврзат својот уред со компромитирана WhatsApp сметка преку процесот на спарување, што значело дека напаѓачите можеа да го задржат пристапот дури и по отстранувањето на пакетот, сè додека корисникот не го отстрани непознатиот уред од поставките на апликацијата.
Софтверот користел напредни техники за прикривање, вклучувајќи замаглување на кодот и енкрипција, за да избегне откривање. Безбедносните експерти советуваат програмерите веднаш да го отстранат „lotusbail“ од своите проекти, да ја проверуваат листата на поврзани уреди на WhatsApp сметките и да бидат внимателни при користење на нови библиотеки од јавни складишта.
