СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.12.2025
#ИБ

Опасный npm-пакет lotusbail: бэкдор и компрометация аккаунтов WhatsApp

Исследователи обнаружили вредоносный npm‑пакет lotusbail, который выдаёт себя за легитимную библиотеку @whiskeysockets/baileys и был загружен более 56 000 раз. По оценке специалистов, это ПО предназначено для кражи учетных данных, перехвата сообщений и установки постоянного доступа к аккаунтам WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) — даже после удаления пакета.

Краткое содержание угрозы

lotusbail реализует «двойную» полезную нагрузку: он похищает токены аутентификации, сообщения и контакты жертвы, а также устанавливает связь с устройством злоумышленника для длительного доступа. Механизм закрепления (binding) позволяет злоумышленникам привязывать свои устройства к учетным записям жертв и сохранять доступ после удаления пакета, что требует ручных действий по восстановлению безопасности аккаунта.

Технический разбор

  • Маскировка: имитация легитимной библиотеки @whiskeysockets/baileys для снижения вероятности раннего обнаружения.
  • Функции злоумышленника: захват токенов аутентификации, чтение сообщений и контактов, установление постоянной связи с устройством жертвы.
  • Сохранение доступа: механизм закрепления обеспечивает продолжительный контроль над аккаунтом даже после удаления пакета.
  • Криптография: эксфильтрация данных реализована через пользовательский стек шифрования (RSA + AES).

Соответствие техникам MITRE ATT&CK

  • T1552.001 — кража учетных данных: перехват через WebSocket (WebSocket interception).
  • T1056.001 — сбор данных: перехват сообщений и контактов через оболочку API (API‑shell).
  • T1027.010 — скрытность: продвинутая обфускация команд для избежания статического анализа.
  • T1497.003 — защита от анализа: ловушки для защиты от отладки.
  • Эксфильтрация: кастомный RSA + AES стек для передачи украденных данных.

Как была обнаружена угроза

Обнаружение произошло во время рутинного поведенческого анализа: внимание привлекла аномальная исходящая сетевая активность, свидетельствующая о вредоносном поведении. Традиционные сканеры уязвимостей не определили угрозу, поскольку lotusbail разработан для корректной работы приложений, а не для явной эксплуатации уязвимости — это затрудняет статическое обнаружение и подчёркивает важность мониторинга во время выполнения (runtime monitoring) и поведенческого анализа.

Это инцидент демонстрирует: статические проверки и привычные сканеры недостаточны — необходимы поведенческий анализ и защита во время выполнения.

Рекомендуемые немедленные меры

  • Провести инвентаризацию пакетов: выявить и зафиксировать все установки lotusbail и зависимостей.
  • Локализация и устранение: удалить пакет и все связанные с ним файлы, выполнить локализацию заражённых окружений.
  • Восстановление учетных записей: удалить неизвестные устройства, подключенные к WhatsApp в период заражения, и сменить/пересмотреть механизмы аутентификации.
  • Внедрить средства защиты во время выполнения (runtime protection) и усилить мониторинг сетевой активности.
  • Ужесточить политику проверки пакетов (package verification), уделить повышенное внимание библиотекам для коммуникаций.

Стратегические улучшения на 30 дней

  • Архитектурные корректировки: изоляция интеграции обмена сообщениями через отдельные микросервисы.
  • Минимизация привилегий: использовать сервис‑аккаунты с ограниченными разрешениями для компонентов обмена сообщениями.
  • Надёжный мониторинг: соотносить установки пакетов с необычным сетевым трафиком и поведением приложений.
  • Регулярные поведенческие аудиты и внедрение детекторов аномалий на уровне приложений и сети.

Последствия инцидента

Последствия такого компрометации могут быть серьёзными:

  • Потеря и утечка данных — сообщения, контакты, токены аутентификации.
  • Постоянный доступ злоумышленников к аккаунтам пользователей даже после удаления ПО.
  • Репутационный ущерб для организаций, использующих скомпрометированные библиотеки.
  • Регуляторные риски и возможные штрафы, особенно если речь идёт о конфиденциальной или защищённой информации.

Вывод

Инцидент с lotusbail — наглядный пример современной целенаправленной атаки через цепочку поставок: маскировка под легитимную библиотеку, использование продвинутых техник обфускации и обеспечение устойчивого доступа. Он подчёркивает необходимость перехода от исключительно статической проверки пакетов к комплексной стратегии безопасности, включающей поведенческий анализ, защиту во время выполнения, изоляцию критичных интеграций и строгий контроль за сторонними библиотеками.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: