Nguyễn Đức Thao
Intern Writer
Các chuyên gia an ninh mạng vừa phát hiện một gói phần mềm độc hại trên kho npm ngụy trang thành API WhatsApp đầy đủ chức năng. Dù hoạt động như một thư viện hợp pháp, gói này có khả năng đánh cắp tin nhắn, danh bạ, mã đăng nhập, đồng thời liên kết thiết bị của kẻ tấn công với tài khoản WhatsApp của nạn nhân mà người dùng không hề hay biết.
Gói có tên “lotusbail”, được tải lên bởi tài khoản seiren_primrose từ tháng 5 năm 2025 và đã đạt hơn 56.000 lượt tải, trong đó 711 lượt chỉ trong tuần gần nhất. Tại thời điểm công bố nghiên cứu, thư viện này vẫn có thể tải xuống trên npm.
Theo nhà nghiên cứu Tuval Admoni của Koi Security, phần mềm độc hại này “đội lốt công cụ hợp pháp để đánh cắp thông tin xác thực WhatsApp, chặn toàn bộ tin nhắn, thu thập danh bạ, cài cửa hậu lâu dài và mã hóa dữ liệu trước khi gửi về máy chủ của kẻ tấn công”.
Dữ liệu bị thu thập bao gồm mã xác thực, khóa phiên, lịch sử trò chuyện, danh sách liên lạc có số điện thoại, tệp phương tiện và tài liệu. Nguy hiểm hơn, gói này còn chiếm quyền quá trình liên kết thiết bị WhatsApp bằng một mã ghép nối được mã hóa cứng, từ đó bí mật liên kết thiết bị của kẻ tấn công với tài khoản nạn nhân.
Theo Admoni, khi nhà phát triển sử dụng thư viện để xác thực, họ không chỉ kết nối ứng dụng của mình mà còn vô tình cấp quyền truy cập vĩnh viễn cho kẻ tấn công. Ngay cả khi gỡ bỏ gói npm khỏi hệ thống, thiết bị của tin tặc vẫn tiếp tục được liên kết với WhatsApp cho đến khi người dùng tự tay hủy liên kết trong phần cài đặt ứng dụng.
Idan Dardikman, cũng thuộc Koi Security, cho biết hoạt động độc hại được kích hoạt ngay khi lập trình viên sử dụng API thông thường, không cần gọi hàm đặc biệt nào. Ngoài ra, “lotusbail” còn tích hợp cơ chế chống gỡ lỗi, khiến chương trình rơi vào vòng lặp vô hạn nếu phát hiện công cụ phân tích, làm treo quá trình thực thi.
Các gói được tải lên từ tám nguồn khác nhau, bao gồm:
binance.csharp, bitcoincore, bybitapi.net, coinbase.net.api, googleads.api, nbitcoin.unified, netthereumnet, nethereumunified, netherеum.all, solananet, solnetall, solnetall.net, solnetplus, solnetunified.
Để qua mặt người dùng và hệ thống đánh giá, tin tặc thổi phồng số lượt tải, phát hành nhiều phiên bản liên tiếp trong thời gian ngắn nhằm tạo cảm giác dự án đang được duy trì tích cực. Chiến dịch này được ghi nhận bắt đầu từ tháng 7 năm 2025.
Đáng chú ý, gói GoogleAds.API trong nhóm này không nhắm vào tiền điện tử mà tập trung đánh cắp thông tin xác thực OAuth của Google Ads. ReversingLabs cảnh báo đây là dữ liệu cực kỳ nhạy cảm, vì kẻ tấn công có thể toàn quyền truy cập tài khoản quảng cáo, đọc dữ liệu chiến dịch, chỉnh sửa quảng cáo và chi tiêu không giới hạn ngân sách cho các hoạt động gian lận hoặc độc hại.(thehackernews)
Gói có tên “lotusbail”, được tải lên bởi tài khoản seiren_primrose từ tháng 5 năm 2025 và đã đạt hơn 56.000 lượt tải, trong đó 711 lượt chỉ trong tuần gần nhất. Tại thời điểm công bố nghiên cứu, thư viện này vẫn có thể tải xuống trên npm.
Theo nhà nghiên cứu Tuval Admoni của Koi Security, phần mềm độc hại này “đội lốt công cụ hợp pháp để đánh cắp thông tin xác thực WhatsApp, chặn toàn bộ tin nhắn, thu thập danh bạ, cài cửa hậu lâu dài và mã hóa dữ liệu trước khi gửi về máy chủ của kẻ tấn công”.
Cách “lotusbail” chiếm quyền WhatsApp và tồn tại lâu dài
Gói npm này được xây dựng dựa trên @whiskeysockets/baileys, một thư viện TypeScript hợp pháp dùng WebSocket để tương tác với WhatsApp Web. Tuy nhiên, “lotusbail” đã thay thế lớp WebSocket bằng một trình bao độc hại, cho phép mọi thông tin xác thực và nội dung tin nhắn đều bị chặn và chuyển tiếp đến máy chủ do kẻ tấn công kiểm soát dưới dạng mã hóa.Dữ liệu bị thu thập bao gồm mã xác thực, khóa phiên, lịch sử trò chuyện, danh sách liên lạc có số điện thoại, tệp phương tiện và tài liệu. Nguy hiểm hơn, gói này còn chiếm quyền quá trình liên kết thiết bị WhatsApp bằng một mã ghép nối được mã hóa cứng, từ đó bí mật liên kết thiết bị của kẻ tấn công với tài khoản nạn nhân.
Theo Admoni, khi nhà phát triển sử dụng thư viện để xác thực, họ không chỉ kết nối ứng dụng của mình mà còn vô tình cấp quyền truy cập vĩnh viễn cho kẻ tấn công. Ngay cả khi gỡ bỏ gói npm khỏi hệ thống, thiết bị của tin tặc vẫn tiếp tục được liên kết với WhatsApp cho đến khi người dùng tự tay hủy liên kết trong phần cài đặt ứng dụng.
Idan Dardikman, cũng thuộc Koi Security, cho biết hoạt động độc hại được kích hoạt ngay khi lập trình viên sử dụng API thông thường, không cần gọi hàm đặc biệt nào. Ngoài ra, “lotusbail” còn tích hợp cơ chế chống gỡ lỗi, khiến chương trình rơi vào vòng lặp vô hạn nếu phát hiện công cụ phân tích, làm treo quá trình thực thi.
Không chỉ WhatsApp: làn sóng gói độc hại nhắm vào tiền điện tử
Cùng thời điểm, ReversingLabs công bố phát hiện 14 gói NuGet độc hại giả mạo thư viện Nethereum và các công cụ liên quan đến tiền điện tử. Những gói này có khả năng chuyển hướng giao dịch sang ví của kẻ tấn công khi số tiền vượt quá 100 USD (khoảng 2.500.000 VNĐ), hoặc đánh cắp khóa riêng và cụm từ hạt giống.Các gói được tải lên từ tám nguồn khác nhau, bao gồm:
binance.csharp, bitcoincore, bybitapi.net, coinbase.net.api, googleads.api, nbitcoin.unified, netthereumnet, nethereumunified, netherеum.all, solananet, solnetall, solnetall.net, solnetplus, solnetunified.
Để qua mặt người dùng và hệ thống đánh giá, tin tặc thổi phồng số lượt tải, phát hành nhiều phiên bản liên tiếp trong thời gian ngắn nhằm tạo cảm giác dự án đang được duy trì tích cực. Chiến dịch này được ghi nhận bắt đầu từ tháng 7 năm 2025.
Đáng chú ý, gói GoogleAds.API trong nhóm này không nhắm vào tiền điện tử mà tập trung đánh cắp thông tin xác thực OAuth của Google Ads. ReversingLabs cảnh báo đây là dữ liệu cực kỳ nhạy cảm, vì kẻ tấn công có thể toàn quyền truy cập tài khoản quảng cáo, đọc dữ liệu chiến dịch, chỉnh sửa quảng cáo và chi tiêu không giới hạn ngân sách cho các hoạt động gian lận hoặc độc hại.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
