-
09/04/2020
-
122
-
1.438 bài viết
Nguy cơ chiếm quyền WhatsApp và đánh cắp tài sản số từ chuỗi cung ứng phần mềm
Một chiến dịch tấn công chuỗi cung ứng phần mềm mới vừa được các chuyên gia an ninh mạng phanh phui, cho thấy mức độ tinh vi ngày càng gia tăng của tội phạm mạng trong việc cài cắm mã độc vào các thư viện mã nguồn mở phổ biến. Lần này, mục tiêu không chỉ là dữ liệu cá nhân hay tài chính mà còn trực tiếp chiếm quyền kiểm soát tài khoản WhatsApp, ví tiền điện tử và tài khoản quảng cáo trực tuyến của nạn nhân, tất cả thông qua những gói thư viện tưởng như “vô hại” dành cho lập trình viên.
Gói thư viện được tải lên npm từ tháng 5/2025 bởi một tài khoản có tên “seiren_primrose” và nhanh chóng đạt hơn 56.000 lượt tải, trong đó riêng tuần gần nhất đã có hơn 700 lượt. Đáng chú ý, tại thời điểm công bố, gói thư viện này vẫn còn tồn tại trên npm, làm gia tăng nguy cơ lây nhiễm.
Theo Koi Security, phía sau lớp vỏ là một công cụ hoạt động “đúng như quảng cáo”, lotusbail thực chất là một mã độc đánh cắp thông tin toàn diện, được thiết kế để xâm nhập và kiểm soát tài khoản WhatsApp của nạn nhân.
Lotusbail được xây dựng dựa trên @whiskeysockets/baileys (một thư viện TypeScript hợp pháp và rất phổ biến dùng để tương tác với WhatsApp Web thông qua WebSocket). Bằng cách sao chép và chỉnh sửa mã nguồn, kẻ tấn công đã tạo ra một phiên bản “giả mạo” hoạt động bình thường, nhưng được cài cắm mã độc tinh vi.
Các dữ liệu bị đánh cắp bao gồm:
Đáng lo ngại là:
Các gói này được phát hành từ 8 tài khoản khác nhau và sử dụng nhiều chiêu trò để tạo lòng tin, như:
Gói npm “lotusbail” là gì và bị phát hiện ra sao?
Các nhà chuyên gia an ninh mạng đã công bố phát hiện về một gói thư viện độc hại trên kho npm - nền tảng phân phối thư viện JavaScript lớn nhất thế giới. Gói này có tên “lotusbail”, được ngụy trang như một API WhatsApp hoạt động đầy đủ, phục vụ cho các nhà phát triển xây dựng ứng dụng tự động hóa hoặc tích hợp WhatsApp.Gói thư viện được tải lên npm từ tháng 5/2025 bởi một tài khoản có tên “seiren_primrose” và nhanh chóng đạt hơn 56.000 lượt tải, trong đó riêng tuần gần nhất đã có hơn 700 lượt. Đáng chú ý, tại thời điểm công bố, gói thư viện này vẫn còn tồn tại trên npm, làm gia tăng nguy cơ lây nhiễm.
Theo Koi Security, phía sau lớp vỏ là một công cụ hoạt động “đúng như quảng cáo”, lotusbail thực chất là một mã độc đánh cắp thông tin toàn diện, được thiết kế để xâm nhập và kiểm soát tài khoản WhatsApp của nạn nhân.
Không phải lỗ hổng, mà là mã độc chuỗi cung ứng
Khác với các bài toán bảo mật truyền thống, đây không phải là lỗ hổng phần mềm có mã CVE, mà là một cuộc tấn công chuỗi cung ứng (supply chain attack). Kẻ tấn công không khai thác lỗi của WhatsApp, mà đánh thẳng vào niềm tin của lập trình viên khi sử dụng thư viện mã nguồn mở.Lotusbail được xây dựng dựa trên @whiskeysockets/baileys (một thư viện TypeScript hợp pháp và rất phổ biến dùng để tương tác với WhatsApp Web thông qua WebSocket). Bằng cách sao chép và chỉnh sửa mã nguồn, kẻ tấn công đã tạo ra một phiên bản “giả mạo” hoạt động bình thường, nhưng được cài cắm mã độc tinh vi.
Cơ chế hoạt động: Khi dùng API, dữ liệu đã bị đánh cắp
Theo phân tích của các chuyên gia an ninh mạng, lotusbail hoạt động như sau: Khi lập trình viên sử dụng thư viện để kết nối ứng dụng của mình với WhatsApp, gói này sẽ bọc (wrap) toàn bộ WebSocket client. Điều đó có nghĩa là mọi dữ liệu đi qua đều bị chặn lại, sao chép và gửi về máy chủ của kẻ tấn công dưới dạng mã hóa.Các dữ liệu bị đánh cắp bao gồm:
- Token xác thực và khóa phiên WhatsApp
- Toàn bộ lịch sử tin nhắn
- Danh bạ kèm số điện thoại
- Hình ảnh, video, tài liệu được gửi/nhận
Hậu quả nghiêm trọng: Chiếm quyền WhatsApp kể cả khi đã gỡ thư viện
Việc liên kết thiết bị trái phép khiến hậu quả không dừng lại ở việc rò rỉ dữ liệu. Khi thiết bị của kẻ tấn công đã được ghép nối thành công, chúng sẽ có quyền truy cập liên tục và lâu dài vào tài khoản WhatsApp của nạn nhân.Đáng lo ngại là:
- Quyền truy cập này vẫn tồn tại ngay cả khi lập trình viên đã gỡ bỏ thư viện lotusbail
- Kẻ tấn công có thể tiếp tục đọc tin nhắn, theo dõi liên lạc, thu thập dữ liệu
- Nạn nhân hoàn toàn không nhận được cảnh báo nào, trừ khi chủ động kiểm tra danh sách thiết bị đã liên kết trong cài đặt WhatsApp
Mở rộng chiến dịch: Nhắm tới tiền mã hóa và Google Ads
Cùng thời điểm, ReversingLabs cũng công bố một chiến dịch khác cho thấy xu hướng tấn công chuỗi cung ứng đang lan rộng. Theo đó, ít nhất 14 gói NuGet độc hại đã được phát hiện trên nền tảng .NET, giả mạo các thư viện phổ biến trong hệ sinh thái tiền mã hóa như Nethereum, Binance, Coinbase, Solana…Các gói này được phát hành từ 8 tài khoản khác nhau và sử dụng nhiều chiêu trò để tạo lòng tin, như:
- Bơm số lượt tải giả
- Liên tục phát hành phiên bản mới để trông “được bảo trì tích cực”
- Chuyển hướng giao dịch tiền điện tử về ví của kẻ tấn công khi số tiền vượt ngưỡng nhất định
- Đánh cắp private key, seed phrase
- Riêng gói GoogleAds.API tập trung đánh cắp OAuth token của Google Ads, cho phép kẻ xấu chiếm toàn quyền tài khoản quảng cáo, đọc dữ liệu chiến dịch và tiêu tiền trái phép
Mức độ nguy hiểm và phạm vi ảnh hưởng
Những chiến dịch này cho thấy một thực tế đáng lo ngại:- Đối tượng bị ảnh hưởng không chỉ là người dùng cuối, mà là lập trình viên, doanh nghiệp, startup
- Chỉ cần một thư viện độc hại được tích hợp, toàn bộ ứng dụng và người dùng phía sau có thể bị ảnh hưởng
- Các cơ chế bảo mật truyền thống như kiểm tra mã tĩnh, uy tín lượt tải không còn đủ hiệu quả
Khuyến nghị từ chuyên gia an ninh mạng
Các chuyên gia khuyến cáo cộng đồng phát triển phần mềm cần đặc biệt lưu ý:- Rà soát lại toàn bộ thư viện bên thứ ba đang sử dụng, đặc biệt là các gói liên quan đến xác thực, nhắn tin, tài chính
- Ưu tiên sử dụng thư viện từ nhà phát triển uy tín, có lịch sử minh bạch
- Kiểm tra danh sách thiết bị liên kết trên WhatsApp và các nền tảng tương tự
- Áp dụng kiểm soát chuỗi cung ứng phần mềm (SCA), ký số, và kiểm tra hành vi runtime
- Với doanh nghiệp, cần xây dựng quy trình kiểm duyệt thư viện chặt chẽ trước khi đưa vào sản phẩm
WhiteHat