Um pacote malicioso disfarçado de biblioteca legítima para a API do WhatsApp Web foi descoberto no registro do Node Package Manager (npm), tendo sido baixado mais de 56.000 vezes ao longo de pelo menos seis meses. Denominado lotusbail, o pacote se apresenta como um fork funcional do popular projeto WhiskeySockets Baileys, mas esconde um malware projetado para roubar dados de usuários do WhatsApp.
Segundo pesquisadores da empresa de segurança de supply chain Koi Security, o pacote envolve o cliente WebSocket legítimo que se comunica com os servidores do WhatsApp, criando um canal para interceptar a comunicação. Dessa forma, cada mensagem enviada ou recebida, além dos tokens de autenticação e as chaves de sessão, passa pelo código malicioso antes de seguir seu caminho normal. A funcionalidade legítima da biblioteca continua a funcionar, mascarando completamente a atividade fraudulenta.
Um dispositivo criminoso vinculado
Um dos mecanismos mais perigosos implementados pelo lotusbail é a vinculação persistente do dispositivo do atacante à conta da vítima. O pacote inclui um código de pareamento que, durante a autenticação, adiciona um dispositivo controlado pelo criminoso à conta do WhatsApp do usuário. Isso garante ao atacante acesso contínuo e completo à conta — permitindo ler mensagens, enviar mensagens como se fosse o dono da conta e acessar contatos e mídias — mesmo após a remoção do pacote malicioso do sistema. Para revogar esse acesso, a vítima precisa remover manualmente o dispositivo não autorizado nas configurações do WhatsApp.
Para evitar a detecção, os autores empregaram técnicas avançadas de ofuscação. Os dados roubados são criptografados com uma implementação personalizada de RSA e passam por múltiplas camadas de codificação, como compressão LZString e criptografia AES, antes da exfiltração para um servidor controlado pelos atacantes. Além disso, o código contém 27 armadilhas de loop infinito que são ativadas quando ferramentas de depuração são detectadas, dificultando enormemente a análise estática e dinâmica por pesquisadores de segurança.
A descoberta é um alerta crítico para desenvolvedores que dependem de pacotes de código aberto. A Koi Security ressalta que revisar visualmente o código-fonte não é suficiente para identificar ameaças tão sofisticadas. A recomendação é que, além de remover imediatamente o pacote lotusbail e verificar os dispositivos vinculados ao WhatsApp, os desenvolvedores adotem práticas proativas como monitorar o comportamento em tempo de execução de novas dependências, prestando atenção em conexões de rede suspeitas ou atividades incomuns durante fluxos de autenticação. Este caso demonstra que ataques à cadeia de suprimentos de software estão se tornando mais profissionais, camuflando-se em funcionalidades que realmente funcionam para enganar até mesmo usuários experientes.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!