Исследователи в сфере кибербезопасности обнаружили новый вредоносный пакет в репозитории npm, который выдает себя за рабочую библиотеку API для WhatsApp, но на самом деле перехватывает все сообщения, крадёт данные для входа и обеспечивает злоумышленникам скрытый доступ к аккаунтам жертв.
Пакет, опубликованный под названием "lotusbail" и доступный с мая 2025 года, скачали более 56 000 раз перед тем, как его вредоносное поведение стало известно. Он маскируется под легитимную библиотеку для работы с WhatsApp API и действительно позволяет отправлять и принимать сообщения через WebSocket-соединение, как настоящая библиотека.
Что делает этот вредоносный пакет
Пакет ведёт себя как полноценный инструмент, но в реальности он:
перехватывает и сохраняет аутентификационные токены, ключи сессий, историю сообщений и контакты с номерами телефонов;
включает код, который отправляет украденные данные на сервер злоумышленников в зашифрованном виде;
связывает устройство злоумышленника с WhatsApp-аккаунтом пользователя, используя жёстко закодированный код сопряжения, что даёт устойчивый доступ к учётной записи даже после удаления пакета.
Такая внедрённая функциональность делает угрозу особенно серьёзной, потому что даже после удаления вредоносного модуля злоумышленник остаётся подключён к вашему аккаунту WhatsApp до тех пор, пока вы вручную не отключите устройство злоумышленника в настройках мессенджера.
Как это работает технически
Вредоносный код внедрён в WebSocket-обёртку, через которую проходит весь трафик между мессенджером и сервером WhatsApp. Эта обёртка перехватывает данные аутентификации и сообщения, а затем отправляет их на управляемый злоумышленниками URL в зашифрованной форме, чтобы затруднить обнаружение сетевыми инструментами.
Кроме того, пакет содержит механизм, который автоматически добавляет устройство злоумышленника в список связанных устройств вашей учётной записи WhatsApp, что позволяет получать доступ к вашим чатам и контактам бесшумно и независимо от того, установлен пакет или нет.
Этот случай подчёркивает, насколько серьёзной проблемой становятся атаки на цепочку поставок ПО (supply chain attacks). Разработчики часто устанавливают сторонние npm-пакеты без тщательной проверки, полагаясь на опубликованные рейтинги и количество загрузок. Злоумышленники пользуются этим доверием, создавая пакеты с вредоносным функционалом под видом полезных библиотек.
Ранее исследователи также фиксировали другие вредоносные npm-пакеты, которые крадут данные, вводят вредоносные скрипты или автоматически запускаются при установке, чтобы собирать конфиденциальные данные разработчиков.
Источник: HN