Pacote falso de API do WhatsApp no npm rouba mensagens e dados de usuários

Tipo principal do conteúdo: Cibersegurança

Pesquisadores de segurança digital identificaram um novo pacote malicioso no repositório npm, chamado “lotusbail”, que se apresenta como uma API funcional para WhatsApp, mas incorpora mecanismos avançados de interceptação de mensagens e sequestro de contas. O pacote, disponível desde maio de 2025 e já baixado mais de 56 mil vezes, utiliza um wrapper WebSocket malicioso para capturar tokens de autenticação, histórico de mensagens, lista de contatos e arquivos de mídia, transmitindo esses dados de forma criptografada para servidores controlados por atacantes.

A técnica empregada pelo “lotusbail” explora o fluxo normal de autenticação do WhatsApp, inserindo um código de pareamento fixo que vincula silenciosamente o dispositivo do invasor à conta da vítima. Isso garante acesso persistente à conta, mesmo após a remoção do pacote, já que o dispositivo malicioso permanece vinculado até ser manualmente desvinculado nas configurações do aplicativo. Além disso, o pacote conta com mecanismos anti-debugging, dificultando a análise por ferramentas de segurança tradicionais.

O ataque é particularmente sofisticado por se disfarçar como uma biblioteca legítima baseada em WebSockets, inspirada em projetos populares como o “@whiskeysockets/baileys”. Isso permite que o código malicioso passe despercebido por sistemas de análise estática e reputação, que tendem a confiar em pacotes amplamente utilizados e funcionais. O caso evidencia a crescente complexidade dos ataques à cadeia de suprimentos de software, onde funcionalidades legítimas são mescladas a backdoors persistentes e furtivos.

Em paralelo, outra campanha foi detectada envolvendo 14 pacotes maliciosos no repositório NuGet, que simulam bibliotecas populares do ecossistema de criptomoedas, como Nethereum. Esses pacotes visam desviar fundos de transações, exfiltrar chaves privadas e credenciais sensíveis, inclusive de contas do Google Ads, explorando técnicas como inflar números de downloads e múltiplas atualizações para mascarar sua real intenção. Tais incidentes reforçam a necessidade de rigor na validação de dependências em projetos de software, especialmente em ambientes críticos e com grande circulação de dados sensíveis.