Pesquisadores de cibersegurança da Koi Security identificaram um pacote malicioso hospedado no Node Package Manager (NPM), o maior repositório de código aberto para projetos em Node.js e JavaScript. Disfarçada de uma API funcional do WhatsApp, a ferramenta aparenta ser legítima, mas esconde um comportamento altamente invasivo.
O pacote, chamado lotusbail, foi publicado em maio de 2025 pelo usuário identificado como “seiren_primrose” e já ultrapassou a marca de 56 mil downloads. Mesmo após a divulgação da descoberta pelos pesquisadores, o código ainda permanecia disponível no repositório no momento do alerta.
Malware rouba mensagens e credenciais do WhatsApp
De acordo com a Koi Security, por trás da promessa de integração simples com o WhatsApp existe um malware sofisticado. O pacote é capaz de roubar credenciais da plataforma, interceptar todas as mensagens enviadas e recebidas, coletar contatos e instalar um backdoor persistente. Antes de serem exfiltrados, os dados ainda passam por um processo de criptografia e são enviados a servidores controlados pelos atacantes.
Entre as informações coletadas estão tokens de autenticação, chaves de sessão, histórico completo de conversas, lista de contatos com números de telefone e arquivos de mídia ou documentos. A presença da porta dos fundos garante acesso contínuo à conta comprometida, mesmo após tentativas de mitigação.
Engenharia social mira desenvolvedores
O método de infecção se apoia fortemente em engenharia social voltada a desenvolvedores. Como o lotusbail realmente funciona como uma API do WhatsApp e entrega o resultado esperado, muitos programadores acabam incorporando o pacote aos seus projetos sem uma análise profunda do código.
Para dificultar a detecção, o malware utiliza técnicas de ofuscação e confusão de análise, incluindo um loop que se repete 27 vezes com o objetivo de desviar a atenção de processos de depuração. Todo o conteúdo coletado é criptografado antes do envio, reduzindo ainda mais as chances de identificação do comportamento malicioso.
Aplicações afetadas acabam expondo usuários finais
Embora o alvo inicial sejam os desenvolvedores, qualquer pessoa que utilize aplicações baseadas nesse pacote acaba sendo impactada. Isso amplia consideravelmente o alcance da ameaça, transformando bibliotecas comprometidas em vetores de ataque em larga escala.
Como medida preventiva, especialistas reforçam a necessidade de revisar cuidadosamente bibliotecas e dependências antes de integrá-las a projetos. Mesmo quando um pacote entrega exatamente o que promete, a análise do código e a verificação da reputação do desenvolvedor continuam sendo práticas essenciais para reduzir riscos no ecossistema de software.
