आपका WhatsApp डेटा खतरे में? 56 हजार डाउनलोड्स के बाद खुला राज, एक्सपर्ट ने दी सलाह

एक मैलिशियस NPM पैकेज WhatsApp Web API बनकर मैसेज और अकाउंट एक्सेस चोरी करता पाया गया।

विज्ञापन
Written by नितेश पपनोई, अपडेटेड: 23 दिसंबर 2025 15:55 IST
ख़ास बातें
  • lotusbail नाम का npm पैकेज WhatsApp डेटा चोरी करता पाया गया
  • पैकेज अटैकर के डिवाइस को अकाउंट से लिंक कर देता है
  • सिक्योरिटी एक्सपर्ट्स ने तुरंत हटाने की सलाह दी

Photo Credit: Pixabay

एक खतरनाक NPM पैकेज सामने आया है, जो खुद को WhatsApp Web API लाइब्रेरी बताकर डेवलपर्स और यूजर्स के WhatsApp अकाउंट्स और मैसेजेज चोरी कर रहा था। यह पैकेज पिछले कम से कम छह महीनों से npm रजिस्ट्री पर मौजूद था और अब तक 56 हजार से ज्यादा बार डाउनलोड किया जा चुका है। मामला सामने आने के बाद डेवलपर्स और सिक्योरिटी एक्सपर्ट्स के बीच चिंता बढ़ गई है, क्योंकि यह सिर्फ डेटा चोरी तक सीमित नहीं था, बल्कि अकाउंट पर लंबे समय तक कंट्रोल भी हासिल कर सकता था।

सप्लाई-चेन सिक्योरिटी कंपनी Koi Security के रिसर्चर्स के मुताबिक, यह मैलिशियस पैकेज WhiskeySockets Baileys नाम के पॉपुलर प्रोजेक्ट का फोर्क था और npm पर lotusbail नाम से पब्लिश किया गया था। बाहर से देखने पर यह पूरी तरह एक वैध WhatsApp Web API लाइब्रेरी जैसा काम करता था, जिससे किसी को शक नहीं हुआ। लेकिन बैकएंड में यह WhatsApp के ऑथेंटिकेशन टोकन, सेशन कीज, कॉन्टैक्ट लिस्ट, मीडिया फाइल्स और भेजे व मिले सभी मैसेज रिकॉर्ड कर रहा था।

रिसर्च में सामने आया कि यह पैकेज WhatsApp के WebSocket कम्युनिकेशन को रैप कर लेता था। इसका मतलब यह था कि ऐप के जरिए गुजरने वाला हर मैसेज पहले इसी मालवेयर से होकर जाता था। लॉगिन के समय यूजर की क्रेडेंशियल्स कैप्चर हो जाती थीं और हर इनकमिंग व आउटगोइंग मैसेज रिकॉर्ड कर लिया जाता था। चोरी किए गए डेटा को बाहर भेजने से पहले RSA, AES एन्क्रिप्शन, Unicode ट्रिक्स और कंप्रेशन जैसी कई लेयर की ऑबफुस्केशन का इस्तेमाल किया गया, ताकि इसे पकड़ना मुश्किल हो जाए।

सबसे गंभीर बात यह रही कि यह पैकेज अटैकर के डिवाइस को WhatsApp अकाउंट से लिंक भी कर देता था, ठीक वैसे ही जैसे नया डिवाइस पेयर किया जाता है। इसका नतीजा यह होता था कि भले ही बाद में यह npm पैकेज सिस्टम से हटा दिया जाए, अटैकर को अकाउंट का एक्सेस बना रहता था। यह एक्सेस तब तक खत्म नहीं होता, जब तक यूजर WhatsApp की सेटिंग्स में जाकर खुद से लिंक्ड डिवाइसेज को रिमूव न करे।

Koi Security के मुताबिक, lotusbail में 27 अलग-अलग इनफिनिट लूप ट्रैप्स भी थे, जिनका मकसद डिबगिंग और एनालिसिस को और मुश्किल बनाना था। यही वजह मानी जा रही है कि यह पैकेज इतने लंबे समय तक किसी की नजर में आए बिना npm पर मौजूद रहा।

सिक्योरिटी एक्सपर्ट्स ने सलाह दी है कि जिन डेवलपर्स ने गलती से इस पैकेज का इस्तेमाल किया है, वे इसे तुरंत अपने सिस्टम से हटाएं और अपने WhatsApp अकाउंट में जाकर Linked Devices सेक्शन जरूर चेक करें। साथ ही, Koi Security का कहना है कि सिर्फ सोर्स कोड देखने से ही किसी पैकेज की सेफ्टी तय नहीं की जा सकती, बल्कि रनटाइम बिहेवियर और आउटबाउंड कनेक्शन्स पर नजर रखना भी उतना ही जरूरी है।

लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।

ये भी पढ़े: NPM, WhatsApp, Cyber Security, Malware Alert, Developer News
Nitesh has almost seven years of experience in news writing and reviewing tech ...और भी
Advertisement
Popular Brands
#ट्रेंडिंग टेक न्यूज़
  1. OnePlus करेगी यूरोप, अमेरिकी मार्केट से एग्जिट! अब भारत को लेकर दिया बड़ा बयान
#ताज़ा ख़बरें
  1. OnePlus करेगी यूरोप, अमेरिकी मार्केट से एग्जिट! अब भारत को लेकर दिया बड़ा बयान
  2. ISRO के टॉप मिशनों को झटका? 100 से ज्यादा वैज्ञानिकों ने छोड़ी नौकरी, सरकार ने बदले नियम
  3. Realme C100x भारत में लॉन्च: 8,000mAh बैटरी और 120Hz डिस्प्ले, कीमत ₹15 हजार से कम
  4. ViewSonic ViewBoard IN04V-N सीरीज पेश, क्लासरूम का बदल जाएगा नजारा, अलग तरीके से होगी पढ़ाई
  5. Vivo का बजट T5 Lite 44W 5G फोन 6500mAh बैटरी के साथ भारत में लॉन्च, कीमत ₹20 हजार से कम!
  6. Zomato को-फाउंडर ने बताई माथे पर चिपकने वाली डिवाइस की लॉन्च डेट, Rs 1 लाख के करीब होगी कीमत!
  7. अब OTP वेरिफिकेशन हुआ पुराना, Vodafone लाया नया तरीका, फ्रॉड का खतरा होगा खत्म
  8. 42W पावर आउटपुट के साथ Edifier के नए डेस्कटॉप स्पीकर लॉन्च, जानें कीमत
  9. ₹25000 में Realme Narzo 100x 5G vs OnePlus Nord CE6 Lite vs Poco M8 5G में से कौन सा है बेस्ट?
  10. ₹17295 सस्ता मिल रहा 48 मेगापिक्सल कैमरा वाला iPhone 16, आया गजब डिस्काउंट
Download Our Apps
Available in Hindi
© Copyright Red Pixels Ventures Limited 2026. All rights reserved.