Um novo golpe foi descoberto no WhatsApp Web: um pacote do npm, chamado “lotusbail”, fingia ser uma biblioteca de API 1 legítima enquanto roubava mensagens, contatos e arquivos de mídia dos usuários, permitindo ainda o acesso persistente às contas por meio do emparelhamento de um dispositivo externo. A ferramenta já possui mais de 56 mil downloads registrados.
O pacote utilizava mecanismos como criptografia personalizada, ferramentas anti-depuração e camadas de ofuscação para evitar a detecção, conforme apurado pela Koi Security, empresa de segurança de supply chain.
O “lotusbail” é um fork do projeto legítimo whiskeysockets/baileys, amplamente usado como uma API (embora não oficial) do WhatsApp Web. Diferentemente de muitos pacotes maliciosos que apresentam comportamentos inconsistentes, a versão fraudulenta do “lotusbail” funcionava exatamente como prometido, o que ajudou a criar confiança por parte dos usuários, impulsionando sua adoção no ecossistema.
Apesar de ser aparentemente funcional, o pacote interceptava todas as informações que passavam pela API, o que inclui tokens de autenticação e chaves de sessão, o histórico completo de mensagens, lista de contatos, bem como as mídias e documentos das conversas. Esse material era captado localmente e enviado aos servidores controlados pelos golpistas.
Posts relacionados
- WhatsApp libera figurinhas animadas nos Status e recursos pro Ano Novo
- WhatsApp permitirá editar imagens no Status com IA e enviar convites de canais
- WhatsApp testa opção avançada para limpar mídias em chats por tipos
Para passar despercebido, o pacote incorporava uma implementação própria de criptografia RSA para proteger os dados antes da exfiltração, além de possuir múltiplas camadas de ofuscação. Informações sensíveis, como o endereço do servidor de exfiltração e parâmetros de funcionamento do malware, não apareciam de forma explícita no código, ficando escondidos em partes criptografadas e comprimidas do programa.
O aspecto mais grave do ataque, porém, estava na exploração do sistema de emparelhamento de dispositivos do WhatsApp, permitindo uma vinculação secreta do dispositivo do atacante à conta da vítima por meio de um código de emparelhamento fixo embutido no código malicioso. Com isso, o invasor passava a ter acesso contínuo à conta, podendo não apenas ler mensagens, mas também enviar conteúdos em nome da vítima e baixar arquivos, mesmo após a remoção do pacote do ambiente comprometido. A desvinculação só ocorre caso o próprio usuário acesse manualmente as configurações do WhatsApp e remova os dispositivos conectados, o que significa que a persistência do acesso independe da presença do malware no sistema original.
Recentemente, outros golpes relacionados ao acesso de contas do WhatsApp por dispositivos externos também viraram notícia: é o caso do GhostPairing, que induzia a liberação desse acesso de forma menos sofisticada que o “lotusbail”, como trouxe o BleepingComputer.
O caso reforça a necessidade de cautela na concessão de permissões e deixa claro o risco de permitir que ferramentas de terceiros tenham acesso amplo a dados pessoais e contas sensíveis.
via Diolinux