Especialistas em cibersegurança da Koi Security descobriram um pacote NPM malicioso chamado Lotusbail, que permite o acesso ao WhatsApp através da API, mas também rouba as credenciais da conta da vítima e analisa suas mensagens.
Fonte da imagem: koi.ai
O pacote malicioso Lotusbail está disponível para download há seis meses e, nesse período, foi baixado mais de 56.000 vezes. Este software é realmente perigoso porque cumpre as funções alegadas pelos desenvolvedores inescrupulosos, fornecendo uma API para acessar o WhatsApp. O pacote é um fork da conhecida e segura biblioteca Baileys e permite o envio e recebimento de mensagens no WhatsApp.
Além das funções anunciadas, o Lotusbail rouba dados do usuário. A conexão com o WhatsApp é feita via WebSocket, o que significa que todas as comunicações com a infraestrutura do aplicativo, incluindo credenciais e conteúdo, podem ser interceptadas pelos atacantes. A criptografia de dados utiliza uma implementação proprietária de RSA, complementada por quatro camadas de ofuscação: manipulação de Unicode, compressão LZString, codificação Base-91 e criptografia AES. As informações comprimidas são então enviadas para o servidor dos atacantes.
Por fim, uma porta dos fundos é injetada na própria conta do WhatsApp da vítima por meio do processo de pareamento de dispositivos no aplicativo de mensagens, estabelecendo uma conexão entre os dispositivos da vítima e do atacante. Isso significa que, mesmo após a remoção do pacote npm malicioso, o dispositivo do atacante pode permanecer conectado à conta do WhatsApp do usuário desavisado.