Pesquisadores alertaram para um novo ataque à cadeia de suprimentos de software envolvendo um pacote malicioso publicado no repositório npm. O pacote, que se apresenta como uma API funcional do WhatsApp, é capaz de interceptar mensagens, roubar contatos, capturar tokens de autenticação e vincular silenciosamente o dispositivo do hacker à conta da vítima.

Batizada de “lotusbail”, a biblioteca foi publicada em maio de 2025 por um usuário identificado como seiren_primrose e já ultrapassou 56 mil downloads, com mais de 700 apenas na última semana. Mesmo após a divulgação do caso, o pacote ainda permanece disponível para download, ampliando o risco para desenvolvedores e empresas que utilizam integrações com o WhatsApp.

Segundo pesquisadores da Koi Security, o pacote funciona como uma API legítima, mas esconde um conjunto de funcionalidades maliciosas. O código é capaz de roubar credenciais do WhatsApp, interceptar todas as mensagens trocadas, coletar listas completas de contatos com números de telefone, capturar arquivos de mídia e documentos, além de instalar uma porta dos fundos persistente no ambiente.

O malware se inspira diretamente na biblioteca legítima @whiskeysockets/baileys, amplamente usada para integração com o WhatsApp Web via WebSockets. A diferença é que o lotusbail adiciona um wrapper malicioso de WebSocket, por onde passam mensagens e dados de autenticação, permitindo a espionagem completa das comunicações. Todas as informações roubadas são criptografadas e enviadas para servidores controlados pelos hackers.

O aspecto mais grave do ataque está no sequestro do processo de pareamento de dispositivos. Durante a autenticação, a biblioteca utiliza um código de pareamento embutido no código-fonte para vincular também o dispositivo do invasor à conta do WhatsApp da vítima, garantindo acesso persistente. Mesmo que o pacote seja removido do sistema, o hacker continua com acesso total à conta até que o dispositivo malicioso seja manualmente desvinculado nas configurações do aplicativo.

Além disso, o pacote inclui mecanismos antidepuração, que fazem o código entrar em um loop infinito caso ferramentas de análise sejam detectadas, dificultando investigações e análises forenses. De acordo com os pesquisadores, o ataque é ativado automaticamente assim que o desenvolvedor utiliza a biblioteca para se conectar ao WhatsApp, sem exigir chamadas especiais ou ações suspeitas.

O caso reforça uma tendência preocupante: ataques à cadeia de suprimentos estão cada vez mais sofisticados e difíceis de detectar. Como o código aparenta ser funcional e possui um alto número de downloads, mecanismos tradicionais de confiança acabam falhando, permitindo que malwares se escondam “entre o código que funciona e o código que faz mais do que promete”.

A divulgação ocorre paralelamente a outro alerta feito pela ReversingLabs, que identificou 14 pacotes maliciosos no NuGet se passando por bibliotecas populares do ecossistema de criptomoedas, como integrações com Ethereum, Bitcoin, Binance e Solana.

Esses pacotes foram projetados para desviar fundos de transações, roubar chaves privadas e seed phrases, ou capturar credenciais sensíveis, como tokens OAuth do Google Ads. Para parecerem legítimos, os hackers inflaram artificialmente o número de downloads e publicaram múltiplas versões em curto espaço de tempo, simulando manutenção ativa dos projetos.

Via - THN