Especialistas em segurança cibernética emitiram um alerta sobre um novo ataque à cadeia de suprimentos de software após a descoberta de um pacote malicioso publicado no repositório npm. Disfarçado como uma API funcional do WhatsApp, o pacote é capaz de espionar conversas, extrair contatos, capturar tokens de autenticação e vincular de forma oculta o dispositivo do invasor à conta da vítima.
A biblioteca, chamada “lotusbail”, foi disponibilizada em maio de 2025 por um usuário identificado como seiren_primrose e já acumula mais de 56 mil downloads, sendo mais de 700 apenas na última semana. Mesmo após a exposição pública do caso, o pacote segue disponível para download, ampliando o risco para desenvolvedores e organizações que utilizam integrações com o WhatsApp em seus sistemas.
De acordo com pesquisadores da Koi Security, o pacote aparenta oferecer funcionalidades legítimas, mas esconde um conjunto avançado de ações maliciosas. O código consegue capturar credenciais do WhatsApp, interceptar todas as mensagens, coletar listas completas de contatos com números de telefone, copiar arquivos de mídia e documentos, além de instalar uma backdoor persistente no ambiente comprometido.
A ameaça é baseada na biblioteca legítima @whiskeysockets/baileys, amplamente utilizada para integração com o WhatsApp Web por meio de WebSockets. No entanto, o lotusbail adiciona uma camada maliciosa ao canal de comunicação, permitindo que mensagens e dados de autenticação sejam monitorados e desviados. As informações coletadas são criptografadas e transmitidas para servidores sob controle dos atacantes.
O ponto mais crítico do ataque está na manipulação do processo de pareamento de dispositivos. Durante a autenticação, a biblioteca utiliza um código de pareamento embutido para associar silenciosamente o dispositivo do hacker à conta da vítima, garantindo acesso contínuo. Mesmo após a remoção do pacote, o invasor mantém controle da conta até que o dispositivo não autorizado seja removido manualmente nas configurações do WhatsApp.
Além disso, o pacote incorpora técnicas de antidepuração, que fazem o código entrar em loops infinitos quando ferramentas de análise são detectadas, dificultando a investigação e a análise forense. Segundo os pesquisadores, o ataque é ativado automaticamente assim que o desenvolvedor usa a biblioteca para se conectar ao WhatsApp, sem exigir comandos específicos ou comportamentos suspeitos.
O episódio reforça uma tendência crescente de ataques à cadeia de suprimentos cada vez mais sofisticados e difíceis de identificar. Como o código funciona conforme o esperado e apresenta um alto volume de downloads, mecanismos tradicionais de confiança falham, permitindo que códigos maliciosos se ocultem em meio a bibliotecas aparentemente legítimas.
A divulgação do caso ocorre em paralelo a um alerta da ReversingLabs, que identificou 14 pacotes maliciosos no repositório NuGet disfarçados de bibliotecas populares do ecossistema de criptomoedas, incluindo integrações com Ethereum, Bitcoin, Binance e Solana. Esses pacotes foram projetados para desviar valores de transações, roubar chaves privadas e seed phrases ou capturar credenciais sensíveis, como tokens OAuth do Google Ads. Para parecerem confiáveis, os criminosos inflaram artificialmente o número de downloads e publicaram diversas versões em curto intervalo, simulando manutenção ativa dos projetos.
