एक मैलिशियस NPM पैकेज WhatsApp Web API बनकर मैसेज और अकाउंट एक्सेस चोरी करता पाया गया।
Photo Credit: Pixabay
एक खतरनाक NPM पैकेज सामने आया है, जो खुद को WhatsApp Web API लाइब्रेरी बताकर डेवलपर्स और यूजर्स के WhatsApp अकाउंट्स और मैसेजेज चोरी कर रहा था। यह पैकेज पिछले कम से कम छह महीनों से npm रजिस्ट्री पर मौजूद था और अब तक 56 हजार से ज्यादा बार डाउनलोड किया जा चुका है। मामला सामने आने के बाद डेवलपर्स और सिक्योरिटी एक्सपर्ट्स के बीच चिंता बढ़ गई है, क्योंकि यह सिर्फ डेटा चोरी तक सीमित नहीं था, बल्कि अकाउंट पर लंबे समय तक कंट्रोल भी हासिल कर सकता था।
सप्लाई-चेन सिक्योरिटी कंपनी Koi Security के रिसर्चर्स के मुताबिक, यह मैलिशियस पैकेज WhiskeySockets Baileys नाम के पॉपुलर प्रोजेक्ट का फोर्क था और npm पर lotusbail नाम से पब्लिश किया गया था। बाहर से देखने पर यह पूरी तरह एक वैध WhatsApp Web API लाइब्रेरी जैसा काम करता था, जिससे किसी को शक नहीं हुआ। लेकिन बैकएंड में यह WhatsApp के ऑथेंटिकेशन टोकन, सेशन कीज, कॉन्टैक्ट लिस्ट, मीडिया फाइल्स और भेजे व मिले सभी मैसेज रिकॉर्ड कर रहा था।
रिसर्च में सामने आया कि यह पैकेज WhatsApp के WebSocket कम्युनिकेशन को रैप कर लेता था। इसका मतलब यह था कि ऐप के जरिए गुजरने वाला हर मैसेज पहले इसी मालवेयर से होकर जाता था। लॉगिन के समय यूजर की क्रेडेंशियल्स कैप्चर हो जाती थीं और हर इनकमिंग व आउटगोइंग मैसेज रिकॉर्ड कर लिया जाता था। चोरी किए गए डेटा को बाहर भेजने से पहले RSA, AES एन्क्रिप्शन, Unicode ट्रिक्स और कंप्रेशन जैसी कई लेयर की ऑबफुस्केशन का इस्तेमाल किया गया, ताकि इसे पकड़ना मुश्किल हो जाए।
सबसे गंभीर बात यह रही कि यह पैकेज अटैकर के डिवाइस को WhatsApp अकाउंट से लिंक भी कर देता था, ठीक वैसे ही जैसे नया डिवाइस पेयर किया जाता है। इसका नतीजा यह होता था कि भले ही बाद में यह npm पैकेज सिस्टम से हटा दिया जाए, अटैकर को अकाउंट का एक्सेस बना रहता था। यह एक्सेस तब तक खत्म नहीं होता, जब तक यूजर WhatsApp की सेटिंग्स में जाकर खुद से लिंक्ड डिवाइसेज को रिमूव न करे।
Koi Security के मुताबिक, lotusbail में 27 अलग-अलग इनफिनिट लूप ट्रैप्स भी थे, जिनका मकसद डिबगिंग और एनालिसिस को और मुश्किल बनाना था। यही वजह मानी जा रही है कि यह पैकेज इतने लंबे समय तक किसी की नजर में आए बिना npm पर मौजूद रहा।
सिक्योरिटी एक्सपर्ट्स ने सलाह दी है कि जिन डेवलपर्स ने गलती से इस पैकेज का इस्तेमाल किया है, वे इसे तुरंत अपने सिस्टम से हटाएं और अपने WhatsApp अकाउंट में जाकर Linked Devices सेक्शन जरूर चेक करें। साथ ही, Koi Security का कहना है कि सिर्फ सोर्स कोड देखने से ही किसी पैकेज की सेफ्टी तय नहीं की जा सकती, बल्कि रनटाइम बिहेवियर और आउटबाउंड कनेक्शन्स पर नजर रखना भी उतना ही जरूरी है।
लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।