- Lotusbail पैकेज वैध WhatsApp Web API लाइब्रेरी Baileys का एक fork है, और यह 6 महीनों में npm पर 56 हज़ार से अधिक बार डाउनलोड किया गया malware-युक्त पैकेज है
- यह सामान्य रूप से काम करने वाली API सुविधाएँ देता है, लेकिन साथ ही WhatsApp authentication जानकारी, संदेश, संपर्क और media files चुराकर हमलावर के सर्वर पर भेजता है
- डेटा को RSA, AES, Base-91, LZString जैसी कई encryption और obfuscation परतों से गुज़ारकर भेजा जाता है, जिससे security monitoring से बचना संभव हो जाता है
- यह पैकेज hardcoded pairing code के ज़रिए हमलावर के डिवाइस को उपयोगकर्ता के WhatsApp खाते से स्थायी रूप से जोड़ने वाला backdoor इंस्टॉल करता है
- यह मामला supply chain attack के उन्नत रूप को दिखाता है और केवल static analysis से पता न चलने वाली behavior-based security monitoring की ज़रूरत पर ज़ोर देता है
Lotusbail पैकेज का अवलोकन
lotusbail वैध @whiskeysockets/baileys का fork है और WhatsApp Web API की वही सुविधाएँ प्रदान करता है
- संदेश भेजना और प्राप्त करना सामान्य रूप से काम करता है, इसलिए डेवलपर बिना शक के इसे इंस्टॉल कर सकते हैं
- यह npm पर 6 महीनों से पंजीकृत है और लिखे जाने के समय तक अभी भी डाउनलोड के लिए उपलब्ध है
- लेकिन इसके वास्तविक व्यवहार के पीछे WhatsApp credentials की चोरी, संदेशों की interception, संपर्कों का संग्रह और backdoor इंस्टॉल करना जैसी malicious गतिविधियाँ छिपी हुई हैं
कौन-सी जानकारी चुराई जाती है
- इसमें authentication token और session key, पूरा message history, फोन नंबर सहित contact list, media files और documents, और स्थायी backdoor access शामिल हैं
- सारा डेटा हमलावर के सर्वर पर भेजे जाने से पहले encrypt किया जाता है
काम करने का तरीका
वास्तव में काम करने वाला छद्म फीचर
- ज़्यादातर malicious npm पैकेज खराब काम करते हैं या संदिग्ध code की वजह से आसानी से पहचाने जाते हैं, लेकिन Lotusbail सामान्य रूप से काम करने वाली API के रूप में छिपता है
- यह वैध Baileys लाइब्रेरी पर आधारित है और message send/receive functionality पूरी तरह लागू है
- इसी कारण डेवलपर “सही से काम करने वाले code” में malicious behavior पर शक नहीं करते, और यहाँ social engineering तकनीक का इस्तेमाल होता है
डेटा चोरी और ट्रांसमिशन
- यह पैकेज WhatsApp से संचार करने वाले WebSocket client को wrap करके काम करता है
- authentication के समय credentials को capture करता है, और संदेश receive/send होने पर उनकी पूरी सामग्री की copy बना लेता है
- सामान्य functionality जस की तस रहती है, बस सारा डेटा हमलावर को भी दूसरी बार भेजा जाता है
- चोरी किए गए डेटा को custom RSA implementation से encrypt करके भेजा जाता है
- यह WhatsApp की अपनी end-to-end encryption से अलग होता है और network monitoring से बचने वाली encryption के रूप में इस्तेमाल किया जाता है
- सर्वर address code में सीधे दिखाई नहीं देता, बल्कि encrypted configuration string के भीतर छिपा होता है
- Unicode variable manipulation, LZString compression, Base-91 encoding, AES encryption जैसी 4-स्तरीय obfuscation लागू की गई है
Backdoor इंस्टॉल करना
- यह WhatsApp के device pairing code फीचर का दुरुपयोग करके हमलावर के डिवाइस को उपयोगकर्ता के खाते से जोड़ देता है
- पैकेज में AES से encrypt किया गया hardcoded pairing code शामिल है
- उपयोगकर्ता के authenticate करते समय हमलावर का डिवाइस भी साथ में connect हो जाता है और स्थायी account access हासिल कर लेता है
- इसके बाद हमलावर संदेश देख सकता है, भेज सकता है, media डाउनलोड कर सकता है, संपर्कों तक पहुँच सकता है, यानी पूरे खाते पर नियंत्रण पा सकता है
- npm पैकेज हटाने पर भी हमलावर का डिवाइस जुड़ा रहता है, और इसे रोकने के लिए WhatsApp settings में जाकर सभी linked devices को manually disconnect करना पड़ता है
Analysis से बचने की तकनीकें
- code में 27 infinite loop trap शामिल हैं, जो debugging tool का पता चलते ही execution रोक देते हैं
- debugger, process arguments, sandbox environment आदि का पता लगाकर dynamic analysis में बाधा डाली जाती है
- malicious code सेक्शन पर comments लगे हुए हैं, जिससे व्यवस्थित development management के संकेत मिलते हैं
निष्कर्ष और सुरक्षा संकेत
- supply chain attack अब और अधिक परिष्कृत हो रहे हैं, और सामान्य रूप से काम करने वाले code के रूप में छिपे उदाहरण बढ़ रहे हैं
- केवल static analysis और reputation-based verification से इन्हें पकड़ना कठिन है, इसलिए runtime behavioral analysis की ज़रूरत है
- Lotusbail का मामला उस security gap का फायदा उठाता है जिसमें “code काम कर रहा है, इसलिए सुरक्षित है” मान लिया जाता है, और यह runtime behavior monitoring system बनाने के महत्व को दिखाता है
- Koi Security की research team ने ऐसी runtime-based detection techniques के ज़रिए उन खतरों की पहचान की, जो मौजूदा verification प्रक्रियाओं को bypass कर जाते हैं
अभी कोई टिप्पणी नहीं है.