Pesquisadores em cibersegurança revelaram detalhes sobre um novo pacote malicioso disponível no repositório npm, que funciona como uma API completa do WhatsApp.
Contudo, ele também tem a capacidade de interceptar todas as mensagens e vincular o dispositivo do invasor à conta do WhatsApp da vítima.
Chamada “lotusbail”, a biblioteca já foi baixada mais de 56.000 vezes desde que foi publicada em maio de 2025 por um usuário identificado como “seiren_primrose”.
Só na última semana, foram registrados 711 downloads.
Até o momento, o pacote permanece disponível para download.
Disfarçado como uma ferramenta legítima, o malware “rouba as credenciais do WhatsApp, intercepta cada mensagem, coleta contatos, instala uma backdoor persistente e criptografa todas as informações antes de enviá-las ao servidor do atacante”, explicou Tuval Admoni, pesquisador da Koi Security, em um relatório divulgado no último fim de semana.
A ameaça captura especificamente tokens de autenticação, chaves de sessão, histórico de mensagens, listas de contatos com números de telefone, além de arquivos de mídia e documentos.
O pacote é baseado na biblioteca legítima @whiskeysockets/baileys, que utiliza TypeScript e WebSockets para interagir com a API do WhatsApp Web.
O funcionamento malicioso ocorre por meio de um wrapper malicioso para WebSocket, por onde passam as informações de autenticação e as mensagens, permitindo a captura desses dados.
As informações roubadas são enviadas em formato criptografado para uma URL controlada pelo invasor.
Além disso, o pacote contém uma funcionalidade oculta que permite criar acesso persistente à conta do WhatsApp da vítima, explorando o processo de vinculação de dispositivo com um código de pareamento embutido no próprio pacote.
“Quando você usa essa biblioteca para autenticar, não está apenas vinculando sua aplicação — está também vinculando o dispositivo do atacante”, alerta Admoni.
“Eles têm acesso completo e persistente à sua conta do WhatsApp, e você não sabe que eles estão lá.”
Com o dispositivo do invasor conectado à conta, é possível manter acesso contínuo aos contatos e conversas, mesmo que o pacote seja removido do sistema.
O vínculo só é desfeito se o usuário desvincular manualmente o dispositivo nas configurações do aplicativo.
Idan Dardikman, também da Koi Security, disse ao The Hacker News que a ação maliciosa é ativada assim que o desenvolvedor utiliza a biblioteca para conectar ao WhatsApp.
“O malware envolve o cliente WebSocket, então, quando você autentica e começa a enviar ou receber mensagens, a intercepção acontece”, explica.
“Nenhuma função especial é necessária, apenas o uso normal da API.
O código da backdoor também é ativado durante o fluxo de autenticação, vinculando o dispositivo do invasor no momento da conexão.”
Outra proteção usada pelo “lotusbail” é a técnica anti-debugging.
Se forem detectadas ferramentas de depuração, o código entra em um loop infinito, travando a execução.
Segundo a Koi Security, ataques na cadeia de suprimentos não param de crescer, tornando-se cada vez mais sofisticados.
“A segurança tradicional não consegue detectar isso.
Análises estáticas identificam um código funcional do WhatsApp e liberam, sistemas de reputação observam 56 mil downloads e confiam.
O malware se esconde na lacuna entre ‘este código funciona’ e ‘este código faz apenas o que diz que faz’.”
Pacotes NuGet maliciosos atacam o ecossistema cripto
A divulgação ocorre pouco depois da ReversingLabs revelar 14 pacotes maliciosos no NuGet que imitam bibliotecas legítimas como Nethereum, uma integração .NET para a blockchain Ethereum, e outras ferramentas criptográficas.
Esses pacotes redirecionam fundos de transações para carteiras controladas por invasores quando o valor supera US$ 100, além de exfiltrar chaves privadas e frases secretas.
Os nomes dos pacotes, publicados a partir de oito contas diferentes, incluem:
- binance.csharp
- bitcoincore
- bybitapi.net
- coinbase.net.api
- googleads.api
- nbitcoin.unified
- nethereumnet
- netherеum.all
- nethereumunified
- solananet
- solnetall
- solnetall.net
- solnetplus
- solnetunified
Esses pacotes adotam diversas táticas para induzir falsa confiança nos usuários, como inflar o número de downloads e lançar dezenas de versões em pouco tempo, criando impressão de manutenção ativa.
A campanha, iniciada em julho de 2025, ativa a funcionalidade maliciosa somente quando os pacotes são instalados por desenvolvedores e funções específicas são incorporadas a outras aplicações.
Entre eles, destaca-se o GoogleAds.API, focado em roubar credenciais OAuth do Google Ads, em vez de dados relacionados a criptomoedas.
Segundo a ReversingLabs, essas credenciais são extremamente sensíveis, pois permitem acesso programático total à conta do Google Ads.
Se expostas, os invasores podem se passar pela vítima, visualizar dados de campanhas, criar ou modificar anúncios e até gastar fundos ilimitados em campanhas fraudulentas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...