WhatsApp. Sursa foto: Pixabay
Din cuprinsul articolului
Un pachet software distribuit prin Node Package Manager (npm) și prezentat ca o bibliotecă legitimă pentru API-ul WhatsApp Web a fost identificat ca fiind periculos, după ce a fost descărcat de peste 56.000 de ori de dezvoltatori.
Cercetătorii în securitate au constatat că acest pachet, denumit „lotusbail”, nu doar oferă funcționalități pentru integrarea cu WhatsApp Web, ci și interceptează date sensibile precum mesaje, contacte și credențiale, oferind acces persistent către conturile compromise.
Informațiile provin din mai multe publicații internaționale de securitate cibernetică și raportul tehnic al companiei Koi Security, specializată în securitatea lanțului de aprovizionare software.
Descoperirea pachetului și natura sa
Pachetul „lotusbail” a fost publicat în registry-ul npm în luna mai 2025 și s-a răspândit sub aparentul scop de a facilita dezvoltarea de aplicații care utilizează API-ul WhatsApp Web.
Conform cercetătorilor, acesta este o bifurcație a proiectului legitim @whiskeysockets/baileys, o bibliotecă WebSockets tradițional folosită pentru automatizări și integrări cu WhatsApp.
Deși „lotusbail” oferă funcțiile de bază pentru trimiterea și primirea de mesaje, ascunde în cod o serie de funcționalități malițioase care permit capturarea și exfiltrarea datelor sensibile ale utilizatorilor fără a fi detectate.
Modul de funcționare al codului malign
Analiza efectuată de firma de securitate Koi Security arată că pachetul încorporează o învelitoare (wrapper) în jurul clientului WebSocket legitim, folosit pentru a comunica cu serverele WhatsApp.
În acest mod, fiecare interacțiune — de la autentificare până la trimiterea și primirea mesajelor — este interceptată și dublată înainte de a fi procesată de aplicația normală.
WhatsApp. Sursă foto: Unsplash
Datele interceptate includ:
- Tokenuri de autentificare și chei de sesiune
- Mesaje trimise și primite
- Lista completă de contacte
- Fișiere multimedia și documente
Toate aceste informații sunt criptate folosind o implementare personalizată RSA înainte de a fi trimise către un server controlat de atacator.
Persistența accesului și compromiterea contului
Un aspect considerat deosebit de grav de cercetători este capacitatea codului de a menține accesul la contul WhatsApp al victimei și după dezinstalarea pachetului.
Procesul de asociere a dispozitivelor utilizat de WhatsApp permite adăugarea unui dispozitiv secundar printr-un cod de împerechere.
Pachetul malițios profită de această facilitate prin inserarea unui cod preconfigurat care leagă un dispozitiv controlat de atacator de contul victimei imediat ce autentificarea este efectuată.
Astfel, chiar și după eliminarea pachetului „lotusbail”, accesul neautorizat poate continua până când dispozitivul asociat este dezlegat manual prin setările contului WhatsApp.
Impact și reacția comunității
Deși pachetul a fost eliminat din registry după descoperire, impactul rămâne semnificativ datorită faptului că multe aplicații sau proiecte dezvoltate în această perioadă pot include încă codul malițios.
Specialiștii în securitate recomandă verificarea atentă a tuturor bibliotecilor terțe utilizate și monitorizarea comportamentului acestora în mediul de execuție.
Un alt punct subliniat de experți este importanța verificării listei de dispozitive asociate contului WhatsApp pentru a identifica și elimina accesul neautorizat.
Riscurile atacurilor asupra lanțului de aprovizionare
Incidentele de acest fel evidențiază riscurile atacurilor asupra lanțului de aprovizionare software, în special în ecosistemele de pachete open-source, unde un cod aparent legitim poate ascunde funcționalități periculoase.
Experții în securitate recomandă:
- Auditarea regulată a pachetelor terțe și a surselor acestora
- Monitorizarea comportamentului de rețea și a interacțiunilor codului în medii de dezvoltare
- Revizuirea periodică a dispozitivelor conectate la conturile de servicii importante, precum WhatsApp
