Onderzoekers hebben een gevaarlijk npm-pakket ontdekt dat zich voordoet als een legitieme WhatsApp Web API, maar in werkelijkheid berichten steelt, inloggegevens oogst en WhatsApp-accounts overneemt. Het pakket, met de naam lotusbail, is in zes maanden tijd meer dan 56.000 keer gedownload en vormt daarmee een serieus risico voor ontwikkelaars en organisaties die werken met WhatsApp-integraties.
Volgens beveiligingsbedrijf Koi Security is het pakket extra verraderlijk omdat het daadwerkelijk functioneert. Onderzoeker Tuval Admoni schrijft dat lotusbail is gebaseerd op de legitieme Baileys-bibliotheek en daadwerkelijk WhatsApp-berichten kan verzenden en ontvangen. “Dit is geen nep-API die meteen faalt. Het werkt precies zoals beloofd”, aldus Admoni.
Npm-pakket
Het pakket is een fork van de veelgebruikte open-sourcebibliotheek @whiskeysockets/baileys en maakt gebruik van WebSocket-communicatie met WhatsApp. Juist daardoor loopt alle communicatie via een extra softwarelaag. Die laag onderschept authenticatietokens bij het inloggen en kopieert berichten, contactlijsten en mediabestanden terwijl deze worden verzonden of ontvangen.
Exfiltratie
Volgens Koi Security wordt alle buitgemaakte data klaargemaakt voor exfiltratie naar een server die onder controle staat van de aanvallers. Daarbij maakt de malware gebruik van een eigen RSA-implementatie en meerdere lagen versleuteling en verhulling, waaronder Unicode-manipulatie, compressie, Base-91-codering en AES-encryptie. Deze combinatie maakt detectie bijzonder lastig.
Extra zorgwekkend is dat het pakket ook misbruik maakt van WhatsApp’s apparaatkoppeling. Via dit mechanisme wordt ongemerkt het apparaat van de aanvaller aan het account van het slachtoffer gekoppeld. Daardoor kan de aanvaller toegang behouden tot het WhatsApp-account, zelfs nadat het kwaadaardige npm-pakket is verwijderd.
Supplychain-aanvallen
De ontdekking past in een bredere trend van toenemende supplychain-aanvallen binnen software-ecosystemen. Eerder werden al npm-pakketten aangetroffen die cryptovaluta stalen, inloggegevens onderschepten of fungeerden als botnets. Het probleem wordt versterkt door de enorme afhankelijkheid van open-sourcebibliotheken in moderne softwareontwikkeling.
Ook binnen de npm-registratie zelf zijn de risico’s zichtbaar. Recent moesten de makers van het project Tea hun beloningssysteem pauzeren nadat meer dan 150.000 kwaadaardige npm-pakketten opdoken in een grootschalige token farming-campagne. Tea-CEO Tim Lewis noemde dit “een kanarie in de kolenmijn” en waarschuwde dat dezelfde technieken op grotere schaal kunnen worden ingezet tegen softwareketens.
Het belang van strenge controles
De zaak rond lotusbail onderstreept het belang van strenge controles op afhankelijkheden, actieve monitoring van gebruikte pakketten en een kritische blik op populaire libraries. Wat eruitziet als een handige ontwikkeltool, kan in werkelijkheid een directe toegangspoort zijn tot gevoelige communicatie en accounts.