Node Package Manager(NPM) 레지스트리의 악성 패키지가 합법적인 WhatsApp Web API 라이브러리로 위장하여 WhatsApp 메시지를 도난하고, 연락처를 수집하며, 계정에 접근합니다. 인기 있는 WhiskeySockets Baileys 프로젝트의 포크인 이 악성 패키지는 합법적인 기능을 제공합니다. 이 패키지는 최소한 6개월 동안 lotusbail이라는 이름으로 npm에 게시되어 있었으며, 56,000회 이상 다운로드되었습니다.
공급망 보안 회사 Koi Security의 연구원들은 이 악성 패키지를 발견하고, 이것이 WhatsApp 인증 토큰과 세션 키를 도난하고, 모든 메시지를 가로채고 기록하며, 연락처 목록, 미디어 파일, 문서를 유출할 수 있다는 사실을 발견했습니다. "이 패키지는 WhatsApp와 통신하는 합법적인 WebSocket 클라이언트를 감싸고 있습니다. 애플리케이션을 통해 흐르는 모든 메시지는 먼저 악성 소프트웨어의 소켓 래퍼를 통과한다. 인증할 때, 래퍼는 당신의 자격증명을 포착한다. 메시지가 도착하면, 그것을 가로챈다. 메시지를 보낼 때, 그것을 기록한다." 라고 연구원들은 설명합니다.
이 패키지는 데이터 도난 활동 외에도, 피해자의 WhatsApp 계정과 공격자의 장치를 연결하는 코드를 포함하고 있습니다. 이로 인해 공격자는 악성 NPM 패키지가 제거된 후에도 계정에 지속적으로 접근할 수 있습니다. 접근 권한은 피해자가 WhatsApp 설정에서 연결된 장치를 수동으로 제거할 때까지 유지됩니다.
요약
- Node Package Manager(NPM) 레지스트리의 악성 패키지가 합법적인 WhatsApp Web API 라이브러리로 위장하여 WhatsApp 메시지를 도난하고, 연락처를 수집하며, 계정에 접근한다.
- 이 패키지는 데이터 도난 활동 외에도, 피해자의 WhatsApp 계정과 공격자의 장치를 연결하는 코드를 포함하고 있다.
- 이로 인해 공격자는 악성 NPM 패키지가 제거된 후에도 계정에 지속적으로 접근할 수 있다.
- 접근 권한은 피해자가 WhatsApp 설정에서 연결된 장치를 수동으로 제거할 때까지 유지된다.
- 이 패키지는 최소한 6개월 동안 lotusbail이라는 이름으로 npm에 게시되어 있었으며, 56,000회 이상 다운로드되었다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.