文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

npm 上的虚假 WhatsApp API 包可窃取消息、联系人和登录令牌

网络安全研究人员披露了 npm 存储库中一个新恶意软件的详细信息,该软件可以作为功能齐全的 WhatsApp API 运行,但同时也具备拦截每条消息并将攻击者的设备与受害者的 WhatsApp 帐户关联起来的能力...Koi Security 研究员 Tuval Admoni 在周末发布的一份报告中表示,该恶意软件伪装成一个功能齐全的工具,会“窃取您的 WhatsApp 凭据,拦截每条消息,收集您的联系人,安装一个持久后门...通过将他们的设备与目标用户的 WhatsApp 连接起来,不仅可以继续访问他们的联系人和对话,而且即使在从系统中卸载该软件包后,也可以保持持续访问,因为威胁行为者的设备会一直与 WhatsApp 帐户保持连接...“除了正常使用 API 之外,无需任何特殊操作。后门配对码也会在身份验证过程中激活——因此,当你将应用连接到 WhatsApp 时,攻击者的设备就会立即被关联。”...“供应链攻击不仅没有减少,反而变得更加猖獗,”Koi说道。“传统的安全措施无法检测到这类攻击。静态分析能够识别出运行正常的WhatsApp代码,并予以认可。

13910

基于社交信任链的WhatsApp账户劫持与钓鱼攻击机制研究

本文旨在填补这一空白,围绕以下核心问题展开:WhatsApp账户劫持的具体技术路径及其与运营商基础设施的耦合关系;劫持后钓鱼消息的构造逻辑与心理诱导机制;现有安全机制(如两步验证)在实际部署中的有效性缺口...4.2 端到端加密的双刃剑效应E2EE确保消息内容不被第三方读取,但也意味着:WhatsApp服务器无法扫描消息中的恶意链接;无法基于内容关键词(如“vote”、“urgent code”)触发风控;异常行为...以下为短链接检测示例(基于VirusTotal API):import requestsdef check_shortlink_safety(url):api_key = "YOUR_VIRUSTOTAL_API_KEY"params...= {'apikey': api_key, 'resource': url}response = requests.get('https://www.virustotal.com/vtapi/v2/url..."# 示例:check_shortlink_safety("http://bit.ly/xxxx")6 结论本文系统研究了基于社交信任链的WhatsApp账户劫持与钓鱼攻击机制。

26610
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    你的WhatsApp正在被“克隆”?新型钓鱼攻击借验证码接管账户,社交链成传播温床

    一旦用户照做,攻击者便能通过合法的WhatsApp“多设备同步”接口,将一台恶意设备注册为受害者的“第二终端”,从而完全接管其聊天记录、联系人列表,甚至冒充本人发送诈骗信息。...WhatsApp Web(网页版)和桌面客户端并不独立运行,而是通过“镜像”手机端会话实现功能。当用户首次使用时,需在手机上打开WhatsApp → 设置 → 链接设备,然后扫描网页上显示的二维码。...整个过程完全利用WhatsApp的合法API,不涉及任何漏洞利用,纯靠社会工程。...注意:2FA PIN不同于短信验证码,是用户自设的6位数密码,用于敏感操作。第二层:警惕“非主动触发”的验证请求WhatsApp官方永远不会通过短信、邮件或站内信要求用户“验证账号”或“点击链接”。...因此:绝不点击任何声称来自WhatsApp的链接;如收“异地登录”通知,应直接打开WhatsApp App查看“Linked Devices”(链接设备)列表,手动登出未知设备;养成习惯:所有敏感操作只在官方

    24110

    基于验证码劫持的 WhatsApp 钓鱼攻击机制与防御策略研究

    该事件中,攻击者发送伪装为 WhatsApp 官方的短信,声称“账户因长期未验证存在风险”,诱导用户点击链接并输入手机号及随后收到的六位数字 OTP。...一旦提交,攻击者立即使用该凭证在真实 WhatsApp 服务器完成注册流程,将受害者设备上的会话强制登出,并接管其全部聊天历史与联系人列表。...已解决”假象}此设计的关键在于“实时转发”:用户提交 OTP 后,攻击脚本立即将手机号与验证码发送至后端代理服务,后者同步向 WhatsApp 官方 API 发起注册请求。...(phone_number)if not user_id:return False# 清除 Redis 中的会话令牌redis.delete(f"whatsapp:sessions:{user_id}"...5.2 行为准则牢记原则:WhatsApp 官方绝不会通过短信索要验证码;遇“账户异常”通知,勿点链接:应直接打开应用内设置查看状态;接到亲友紧急借款,务必语音/视频确认。

    34510

    基于社会工程学的WhatsApp凭证窃取机制与防御体系研究

    一旦凭证失窃,攻击者不仅可接管账户进行定向诈骗,还能利用受害者信任链实现恶意软件的指数级扩散。...一旦用户输入号码,前端JavaScript会立即通过API向攻击者控制的服务器发送请求,触发真实的WhatsApp登录流程,将官方发送的6位短信验证码转发至攻击者后端。...社会工程学诱导机制与心理操纵模型技术手段仅为攻击提供了载体,而社会工程学则是打开用户心防的钥匙。...可视化警示:在聊天界面中,对于包含外部链接的消息,尤其是来自新联系人或长时间未互动的联系人,应显著标记“外部链接”警示,并展示链接的真实目标域名。...零信任思维培养:教育用户遵循“零信任”原则,即默认任何索取验证码的要求均为诈骗,无论其来源看似多么官方。官方机构永远不会通过聊天窗口索要验证码。

    6010

    波兰网络部队紧急预警:你的WhatsApp好友可能“不是本人”——新一轮钓鱼攻击借熟人信任疯狂蔓延

    一旦拿到手机验证码,攻击者即可在新设备上登录受害者的WhatsApp账户。第二步:信任滥用账户得手后,攻击者不会立刻销声匿迹,而是迅速行动——向通讯录中的联系人批量发送精心设计的消息。...针对此次威胁,波兰WOC与芦笛共同提出以下实用建议:✅ 立即启用两步验证(Two-Step Verification)在WhatsApp设置中开启“两步验证”,并设置一个6位PIN码。...✅ 绝不分享验证码无论对方是谁,都不要在聊天中透露任何一次性验证码。正规机构绝不会索要此类信息。✅ 警惕“紧急求助”类消息若好友突然发来借款、投票、链接验证等请求,务必通过电话或面对面方式二次确认。...许多公司使用WhatsApp工作群沟通项目、分享文件,一旦某员工账号被控,攻击者可能发送伪装成“合同”“发票”或“系统通知”的恶意短链,诱导同事下载木马或泄露内网凭证。...芦笛建议企业:明确禁止在非官方通讯工具中传输敏感数据;对员工开展针对性反钓鱼演练,模拟“熟人求助”场景;在移动端部署企业级安全软件,具备恶意链接实时拦截与风险URL检测能力;推动使用更安全的企业通讯平台

    21710

    新型银行木马Eternidade通过WhatsApp传播的技术分析

    在准备当前报告期间通过WhatsApp收到的消息。在以下部分中,我们将分析Eternidade的功能、基础设施和完整感染链,重点介绍该变体与早期活动的不同之处。技术分析图2....超过1300行的Python脚本,旨在自动化WhatsApp消息发送、窃取联系人列表并分发恶意文件。在图6中,脚本的开头直接显示了C2的意图,即建立C2通信并为追踪受感染机器生成唯一的会话ID。...C2端点的初始化。窃取WhatsApp联系人:核心功能该活动的关键函数是“obter_contatos()”,它允许恶意软件窃取受害者的整个WhatsApp联系人列表。...图7显示了它在浏览器中运行的JavaScript代码。图7. 窃取受害者WhatsApp联系人列表的恶意软件JavaScript代码。...分解攻击WPP API利用:恶意软件使用‘WPP.contact.list()’,该函数来自‘wppconnect-w.js’库,为WhatsApp Web提供API包装器。

    27710

    基于婚礼邀请的钓鱼攻击:社会工程模式、技术实现与防御机制研究

    据印度互联网与移动协会(IAMAI)2024年报告,超过68%的城市居民在过去一年中通过WhatsApp或专用婚礼网站接收过电子邀请。...一项针对德里用户的模拟测试显示,含地区文化元素的钓鱼邮件打开率比通用模板高出47%。...URLexcept:return Nonedef check_url_reputation(final_url):# 调用VirusTotal API或内部黑名单if final_url in known_malicious_domains...5.3 第三层:用户交互验证策略5:上下文感知提示当用户点击婚礼邀请链接时,MDM系统弹出提示:“此链接声称来自婚礼邀请,但发件人不在您的常用联系人列表中。建议通过电话确认后再继续。”...有效的防御必须超越传统的签名匹配与URL黑名单,转向对用户行为上下文、应用权限合理性及通信链路完整性的综合评估。所提出的三层防御框架在保持用户体验的前提下,显著提升了检测能力。

    43310

    新型银行木马通过WhatsApp传播的技术分析

    它能够快速开发本机Windows可执行文件,易于分发、混淆并与系统API集成,这些特性使其成为隐蔽、独立恶意软件的理想选择。攻击链该活动始于一个经过混淆的VBScript,其大部分注释为葡萄牙语。...Python脚本(whats.py),旨在自动化WhatsApp消息发送、窃取联系人列表并分发恶意文件。...窃取WhatsApp联系人:核心功能该活动的关键功能是“obter_contatos()”,它允许恶意软件窃取受害者的整个WhatsApp联系人列表。...其执行的JavaScript代码显示,它利用“wppconnect-w.js”库中的“WPP.contact.list()”函数,该库提供了对WhatsApp Web的程序化访问接口。...恶意软件为每个联系人提取以下信息:完整的WhatsApp ID(带有‘@c.us’后缀的电话号码)联系人姓名(备选值:‘name’, ‘pushname’, ‘shortname’)纯净的电话号码是否为已保存的联系人数据外泄

    16410

    基于OAuth滥用的定向钓鱼攻击与防御机制研究

    本文详细还原攻击链技术细节,包括伪造域名、OAuth重定向劫持、代理式令牌窃取及跨信道(WhatsApp/Signal)诱导等环节,并提出基于条件访问策略(Conditional Access)、应用白名单...WhatsApp等即时通讯工具进行二次诱导(如要求“复制浏览器地址栏中的完整URL”),进一步降低怀疑。...、Gmail API等,读取联系人、邮件、日历,甚至发送钓鱼邮件扩大攻击面。...攻击者引导用户访问一个空白页面,并显示如下提示:“请在另一台设备上打开 microsoft.com/devicelogin,输入代码:ABCD-EFGH”同时,攻击者通过WhatsApp联系目标:“为完成注册...,请将浏览器地址栏中的完整URL复制给我。”

    27810

    玩转OpenClaw|云上OpenClaw(Clawdbot)快速接入Discord指南

    复制页面底部生成的链接(Generated URL),在浏览器中打开,在弹窗中选择您希望添加Bot的Discord服务器(需要您具有服务器的管理员权限)。...配置模型API Key提示:OpenClaw接入Discord场景推荐使用海外版模型。为OpenClaw配置模型API Key可以直接在Lighthouse服务器的应用管理页面进行操作。...在面板中可以支持腾讯混元、腾讯云DeepSeek、月之暗面Kimi、MiniMax、智谱GLM等常用模型的API Key配置,也支持配置其他自定义模型(如OpenAI GPT、Google Gemini...如果前面步骤中已在腾讯云控制台中完成模型配置,可以跳过此步骤。如果尚未进行模型配置,可以在此步通过命令行配置模型API Key。...在Discord中与Bot聊天在Discord服务器的联系人列表中点击前面步骤中添加的Discord Bot。选择私聊,发送第一条消息。

    13.9K152

    APT42利用短链与即时通信平台的鱼叉式钓鱼战术分析

    研究表明,该组织近期频繁通过WhatsApp等端到端加密即时通信工具,向高价值目标发送伪装为合作邀约或安全通告的消息,并嵌入经msnl[.]lnk等短链服务生成的恶意URL。...本文聚焦于APT42在本次行动中的战术、技术和程序(TTPs),重点解析其如何通过WhatsApp构建可信上下文、利用短链隐藏真实目的地、并部署动态伪造页面完成凭据窃取。...由于WhatsApp默认显示联系人头像与状态信息,攻击者常上传伪造的机构Logo作为头像,并设置状态为“以色列国防部合作项目组”,强化身份可信度。...4 短链与动态DNS在逃避检测中的作用短链服务与动态DNS的结合,构成了APT42基础设施的核心弹性机制。...=5)return resp.urlexcept:return None# 示例:检测来自WhatsApp的短链original_url = "https://msnl.lnk/AbC3xY"final_url

    33510

    WhatsApp UAF 漏洞分析(CVE-2019-11932)

    rce的过程[2],只要结合浏览器或者其他应用的信息泄露漏洞就可以直接在现实中远程利用,并且Awakened在博客中也提到了: 1、攻击者通过任何渠道将GIF文件发送给用户其中之一可以是通过WhatsApp...作为文档(例如,按“Gallery”按钮并选择“Document”以发送损坏的GIF) 如果攻击者在用户(即朋友)的联系人列表中,则损坏的GIF会自动下载,而无需任何用户交互。...2、用户想将媒体文件发送给他/她的任何WhatsApp朋友。因此,用户按下“Gallery”按钮并打开WhatsApp Gallery以选择要发送给他的朋友的媒体文件。...请注意,用户不必发送任何内容,因为仅打开WhatsApp Gallery就会触发该错误。按下WhatsApp Gallery后无需额外触摸。...二、首先呢,当WhatsApp用户在WhatsApp中打开“Gallery”视图以发送媒体文件时,WhatsApp会使用一个本机库解析该库,libpl_droidsonroids_gif.so以生成GIF

    1.1K20

    多通道钓鱼攻击的演化与行为安全防御模型研究

    攻击者已广泛利用 WhatsApp、Telegram、Slack、Microsoft Teams、Zoom 及 CRM 系统等协作工具实施社会工程攻击,传统基于签名或 URL 黑名单的检测机制在面对跨渠道...这种通信渠道的碎片化为攻击者提供了新的突破口:用户在非正式沟通场景(如 Slack 私信或 WhatsApp 群组)中对可疑内容的警惕性显著低于处理工作邮件,从而降低了社会工程攻击的门槛。...此类攻击的单个环节往往不具备明显恶意特征,但组合后形成完整的欺骗闭环。现有安全体系主要依赖邮件网关、URL 过滤与沙箱分析,难以覆盖端到端的跨应用通信流。...攻击者利用这些平台的 API 或 Webhook 功能,自动化发送消息。...5.2 管理层面修订安全策略:明确规定敏感操作(如转账、凭证重置)不得通过即时通讯发起;开展场景化演练:模拟“CEO 通过 WhatsApp 要求汇款”等场景,测试员工响应流程;建立快速上报通道:在所有协作工具中内置

    19110

    分布式 12306 购票助手,天南海北随心行 | 开源日报 No.37

    快速可靠地评估业务规则和复杂事件处理 具有基于前链和后链推理的规则引擎 可以用作专家系统的基本构建块 orkestral/venom[4] Stars: 5.2k License: Apache-2.0...Venom Bot 是一个使用 JavaScript 开发的高性能系统,用于创建 WhatsApp 机器人。...它支持创建各种交互,如客户服务、媒体发送、基于人工智能的句子识别以及 WhatsApp 的所有类型设计架构。...获取联系人列表、聊天记录和群组信息 发送联系人名片和按钮消息 hackclub/putting-the-you-in-cpu[5] Stars: 3.9k License: MIT 这个项目是一个技术解释...通过 REST 和 GraphQL API 与其他系统进行交互,并支持 NATS、CloudEvents 和 gRPC 等技术栈。

    48120

    2025年邮件推送平台终极对决:腾讯云SES如何问鼎功能王者?

    摘要 在数字化营销浪潮中,邮件推送作为低成本、高触达的核心工具,其平台功能直接影响企业营销效能。...Zoho Campaigns 高信誉IP池+服务器全球部署 可视化流程设计+CRM集成 邮件+社交媒体 ISO 27001 联系人数量...) Sendinblue 动态信誉评分+黑名单监控 多条件触发+基础CRM 邮件+短信+WhatsApp GDPR...(2)自动化营销 场景化模板库:内置电商促销、用户召回等200+行业模板,支持变量动态替换 智能分流系统:根据用户生命周期自动分配营销策略,测试显示转化率提升47% (3)数据洞察平台 全链路追踪...:从发信到转化的300+埋点监控,生成可视化漏斗分析报告 预测模型:基于历史数据预测最佳发送时段,打开率预估准确率达92% 三、选型建议与行业实践 1.

    28010

    短链+WhatsApp组合拳:APT42对以色列防务目标发起高精度鱼叉钓鱼,国家级社工攻击进入“移动端优先”时代

    部分变种还会尝试窃取浏览器本地存储的会话令牌(如localStorage中的JWT),或触发恶意JavaScript下载后门程序。“这不是普通钓鱼,而是一场精心编排的身份欺骗剧。”...GBHackers分析显示,2024年起,APT42开始系统性转向移动端社交平台,尤其偏好WhatsApp——全球超20亿用户、端到端加密、消息打开率高达98%。...短链解析与跳转链监控部署内部URL解析服务,在用户点击前自动展开短链,分析完整跳转路径。若发现最终落地页域名与声称服务不符(如声称是“国防部文件”却跳转至 .ddns.net),则实时阻断。...移动端WebView行为监控在企业MDM策略中启用WebView流量审计,记录所有从WhatsApp、Telegram等应用内打开的网页请求。...攻击者利用人类对熟人消息的信任、对官方机构的信任、对便捷链接的信任,将最坚固的防线从内部瓦解。而防御的本质,不是彻底消灭信任,而是在数字交互中建立可验证的信任(Verifiable Trust)。

    10310

    091_数字取证高级技术:移动设备取证与数据恢复实战指南——从Android到iOS的全面设备调查方法

    前言 随着智能手机和平板电脑的普及,移动设备已成为人们日常生活和工作中不可或缺的工具。这些设备存储了大量个人和企业敏感信息,在数字取证调查中扮演着越来越重要的角色。...(HAL):连接硬件和上层软件 系统运行时层:包括ART虚拟机、核心库等 应用框架层:提供API接口供应用程序调用 应用层:用户安装的应用程序 2.2 Android取证关键位置 2.2.1 系统分区...3.2 iOS安全架构 iOS以安全性著称,主要安全机制包括: 安全启动链:确保系统完整性 代码签名:防止未授权代码执行 沙盒机制:限制应用程序访问权限 全盘加密:使用用户设置的密码加密存储 密钥链:.../com.whatsapp/databases/wa.db - 联系人数据库 /sdcard/WhatsApp/Media/ - 媒体文件 iOS数据位置: AppDomain-net.whatsapp.WhatsApp...辅助分析:使用机器学习自动识别和提取关键证据 实时取证:在不中断设备使用的情况下进行实时取证 云取证整合:无缝整合设备和云端数据的取证方法 区块链取证:分析移动设备上的区块链相关数据 量子安全应对:应对量子计算对加密的威胁

    65710

    玩转OpenClaw|云上OpenClaw(Clawdbot)快速接入Telegram指南

    立即前往>在Telegram中创建Bot登录Telegram账号,并搜索 @BotFather ,选中后点击该联系人。在对话框中输入并发送 /newbot 。...配置模型API Key提示:OpenClaw接入Telegram场景推荐使用海外版模型。为OpenClaw配置模型API Key可以直接在Lighthouse服务器的应用管理页面进行操作。...在面板中可以支持腾讯混元、腾讯云DeepSeek、月之暗面Kimi、MiniMax、智谱GLM等常用模型的API Key配置,也支持配置其他自定义模型。...启用 Hooks(若未出现此步骤,跳过即可)推荐只选择: session-memory (按键盘的上下箭移动光标,空格键选中,回车键确认进入下一步)原因:不会执行任何系统命令安全风险最低请勿选择:启动时自动运行脚本...在Telegram中与Bot聊天在上文中BotFather的聊天中,点击图示的位置,打开Bot对话框。点击 START 按钮。

    18.1K45

    WhatsApp一键自动翻译

    说起WhatsApp大家都知道,是全球用户最多的即时社交工具,对于做跨境电商的外贸人来说,它的作用和价值不言而喻。...但是WhatsApp自身又没有翻译的功能,当我们和国外客户用WhatsApp聊天交流的时候语言不通而烦恼,遇到会中文的还好点,遇到不会中文的如何应对和解决呢?...WhatsApp是基于手机号码注册的,在注册的时候,需要输入手机号码,并接受一条验证短信,然后WhatsApp会搜索你的手机联系人中已经在使用的人并自动添加到你的手机联系人名单里。...扩展资料在Android、Nokia(S40、S60)和BlackBerry用户中,使用WhatsApp通常可免费试用一年,往后需付年费,每年收费0.99美元。...在iOS版本中,用户要先付0.99美元,才拥有在App Store的下载及使用权。

    3.5K41
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券