Pesquisadores de cibersegurança da Koi Security identificaram um pacote malicioso hospedado no Node Package Manager (NPM), o maior repositório de código aberto para projetos em Node.js e JavaScript. À primeira vista, a ferramenta se apresenta como uma API funcional do WhatsApp, mas esconde um comportamento altamente invasivo e perigoso.
Batizado de lotusbail, o pacote foi publicado no repositório em maio de 2025 pelo usuário “seiren_primrose” e já acumula mais de 56 mil downloads. Mesmo após a divulgação da descoberta, o pacote ainda permanecia disponível no NPM no momento da publicação.
Segundo a Koi Security, por trás da promessa de integração simples com o WhatsApp existe um malware sofisticado. “O pacote rouba credenciais do WhatsApp, intercepta todas as mensagens enviadas e recebidas, coleta contatos, instala um backdoor persistente e criptografa os dados antes de enviá-los a um servidor controlado pelo agente malicioso”, detalhou a empresa.
%20(1).png "Malware disfarçado de API do WhatsApp foi baixado mais de 56 mil vezes no NPM Pesquisadores de cibersegurança da Koi Security identificaram um pacote malicioso hospedado no Node Package Manager (NPM), o maior repositório de código aberto para projetos em Node.js e JavaScript. À primeira vista, a ferramenta se apresenta como uma API funcional do WhatsApp, mas esconde um comportamento altamente invasivo e perigoso.")
Entre as informações capturadas estão:
- Tokens de autenticação e chaves de sessão;
- Histórico completo de mensagens;
- Lista de contatos com números de telefone e arquivos de mídia e documentos.
Além disso, o código injeta uma porta dos fundos persistente, garantindo acesso contínuo à conta do WhatsApp da vítima mesmo após eventuais tentativas de mitigação.
O método de infecção se apoia em engenharia social direcionada a desenvolvedores. Como o lotusbail funciona efetivamente como uma API do WhatsApp e entrega o resultado esperado, programadores desatentos tendem a não examinar com atenção as minúcias do código incorporado aos seus projetos.
Para dificultar a detecção, o pacote também emprega técnicas para confundir ferramentas de análise, como um loop que se repete 27 vezes com o objetivo de desviar a atenção de processos de depuração. Após a coleta, todos os dados são criptografados antes de serem enviados ao servidor do atacante.
Ameaça é inserida em aplicações, mas atinge usuários
Embora o alvo direto não seja o usuário final, qualquer pessoa que utilize uma aplicação baseada nesse pacote acaba se tornando vítima do agente malicioso. Isso amplia de forma significativa o alcance e o impacto potencial da ameaça.
Como medida de contenção, especialistas reforçam a importância de que desenvolvedores revisem cuidadosamente o código de bibliotecas e dependências utilizadas em seus aplicativos. Mesmo quando a ferramenta entrega exatamente o que promete, é fundamental desconfiar, analisar a estrutura do código e redobrar a atenção.
Quer continuar por dentro de falhas de segurança, golpes digitais e ameaças emergentes? Acompanhe o TecMundo nas redes sociais e fique sempre atualizado sobre o que acontece no mundo da tecnologia.
