Prima di procedere
Un serio allarme riguarda la sicurezza di WhatsApp: esperti di cybersecurity di Koi Security hanno identificato un pacchetto NPM malevolo denominato Lotusbail, capace di connettersi a WhatsApp tramite API, ma che simultaneamente sottrae dati sensibili e spia le conversazioni degli utenti. Questo pacchetto è stato disponibile per il download per circa sei mesi, raggiungendo oltre 56.000 download, un numero che evidenzia la portata del rischio.
La pericolosità di Lotusbail risiede nella sua duplice natura: da un lato, offre effettivamente le funzionalità promesse, fornendo un'API per l'accesso a WhatsApp. Dall'altro, agisce come un cavallo di Troia, celando attività dannose. Il pacchetto è derivato da una libreria nota e sicura, Baileys, e consente agli utenti di inviare e ricevere messaggi su WhatsApp, una funzionalità che ne ha probabilmente favorito la diffusione.
Parallelamente alle funzioni apparentemente legittime, Lotusbail ruba i dati degli utenti. La connessione a WhatsApp avviene tramite WebSocket, il che significa che tutte le comunicazioni con l'infrastruttura del servizio di messaggistica, incluse le credenziali di accesso e il contenuto dei messaggi, possono essere intercettate da malintenzionati. Per proteggere le informazioni rubate, gli sviluppatori del pacchetto hanno implementato un sistema di crittografia RSA personalizzato, accompagnato da quattro livelli di offuscamento: manipolazioni Unicode, compressione LZString, codifica Base-91 e crittografia AES. I dati, così protetti, vengono poi inviati a un server controllato dagli attaccanti.
L'aspetto più insidioso è l'installazione di una backdoor nell'account WhatsApp della vittima, attraverso il processo di abbinamento dei dispositivi. Questo crea un collegamento persistente tra il dispositivo della vittima e quello dell'attaccante. Anche dopo la rimozione del pacchetto NPM malevolo, il dispositivo dell'attaccante può potenzialmente mantenere l'accesso all'account WhatsApp dell'utente, consentendo la continuazione dello spionaggio e della sottrazione di dati. Per mitigare questo rischio, gli esperti raccomandano di controllare regolarmente i dispositivi collegati al proprio account WhatsApp e di rimuovere immediatamente qualsiasi dispositivo sconosciuto o sospetto.
Questo incidente sottolinea l'importanza di prestare massima attenzione quando si installano pacchetti NPM, soprattutto quelli che promettono funzionalità avanzate o l'accesso a servizi popolari come WhatsApp. È fondamentale verificare la reputazione del pacchetto, esaminare il codice sorgente (se possibile) e monitorare attentamente l'attività della rete dopo l'installazione. L'utilizzo di strumenti di analisi statica e dinamica del codice può aiutare a identificare comportamenti sospetti e a prevenire l'installazione di software malevolo.
La scoperta di Lotusbail evidenzia la crescente sofisticazione delle minacce informatiche che prendono di mira piattaforme di messaggistica istantanea come WhatsApp. Gli utenti devono essere consapevoli dei rischi e adottare misure di sicurezza adeguate per proteggere i propri dati personali e le proprie comunicazioni. Oltre a controllare i dispositivi collegati, è consigliabile attivare la verifica in due passaggi e utilizzare password robuste e univoche per il proprio account WhatsApp.
Inoltre, è importante segnalare qualsiasi attività sospetta o anomalia alle autorità competenti e alla comunità di sicurezza informatica, contribuendo così a prevenire la diffusione di minacce simili e a proteggere gli altri utenti. La collaborazione tra esperti di sicurezza, sviluppatori e utenti è fondamentale per contrastare efficacemente il crescente panorama delle minacce informatiche.
