Pesquisadores de cibersegurança da Koi Security identificaram um pacote malicioso hospedado no Node Package Manager (NPM), o maior repositório de código aberto para projetos em Node.js e JavaScript. À primeira vista, a ferramenta se apresenta como uma API funcional do WhatsApp, mas esconde um comportamento altamente invasivo e perigoso.
Batizado de lotusbail, o pacote foi publicado no repositório em maio de 2025 pelo usuário “seiren_primrose” e já acumula mais de 56 mil downloads. Mesmo após a divulgação da descoberta, o pacote ainda permanecia disponível no NPM no momento da publicação.
Segundo a Koi Security, por trás da promessa de integração simples com o WhatsApp existe um malware sofisticado. “O pacote rouba credenciais do WhatsApp, intercepta todas as mensagens enviadas e recebidas, coleta contatos, instala um backdoor persistente e criptografa os dados antes de enviá-los a um servidor controlado pelo agente malicioso”, detalhou a empresa.
Entre as informações capturadas estão:
- Tokens de autenticação e chaves de sessão;
- Histórico completo de mensagens;
- Lista de contatos com números de telefone e arquivos de mídia e documentos.
Além disso, o código injeta uma porta dos fundos persistente, garantindo acesso contínuo à conta do WhatsApp da vítima mesmo após eventuais tentativas de mitigação.
O método de infecção se apoia em engenharia social direcionada a desenvolvedores. Como o lotusbail funciona efetivamente como uma API do WhatsApp e entrega o resultado esperado, programadores desatentos tendem a não examinar com atenção as minúcias do código incorporado aos seus projetos.
Para dificultar a detecção, o pacote também emprega técnicas para confundir ferramentas de análise, como um loop que se repete 27 vezes com o objetivo de desviar a atenção de processos de depuração. Após a coleta, todos os dados são criptografados antes de serem enviados ao servidor do atacante.
Ameaça é inserida em aplicações, mas atinge usuários
Embora o alvo direto não seja o usuário final, qualquer pessoa que utilize uma aplicação baseada nesse pacote acaba se tornando vítima do agente malicioso. Isso amplia de forma significativa o alcance e o impacto potencial da ameaça.
Como medida de contenção, especialistas reforçam a importância de que desenvolvedores revisem cuidadosamente o código de bibliotecas e dependências utilizadas em seus aplicativos. Mesmo quando a ferramenta entrega exatamente o que promete, é fundamental desconfiar, analisar a estrutura do código e redobrar a atenção.
Quer continuar por dentro de falhas de segurança, golpes digitais e ameaças emergentes? Acompanhe o TecMundo nas redes sociais e fique sempre atualizado sobre o que acontece no mundo da tecnologia.