- Ondsindet npm-fork fra Baileys WhatsApp Web API, udgivet som lotusbail, er blevet downloadet over 56,000 gange.
- Pakken indpakker den legitime WebSocket-klient for at stjæle tokens, sessionsnøgler, beskeder, kontakter og medier i baggrunden.
- Angribere parrer lydløst deres egen enhed med offerets WhatsApp-konto og bevarer adgangen, selv efter at pakken er afinstalleret.
- Forskere fra Koi Security opfordrer udviklere til at granske npm-afhængigheder og overvåge runtime-adfærd for at opdage angreb i forsyningskæden.
En tilsyneladende harmløs npm-pakke annonceret som en WhatsApp Web API-hjælper er blevet taget i stille og roligt at stjæle chats, kontakter og adgangsoplysninger fra intetanende udviklere og deres brugere. Biblioteket, udgivet under navnet "lotusbold", forblev tilgængelig i flere måneder i det officielle npm-register og formåede at samle mere end 56,000 downloads, før det blev genstand for seriøs granskning.
Ifølge flere uafhængige artikler og en detaljeret undersøgelse foretaget af Koi-sikkerhed, pakken opfører sig på overfladen som et normalt WhatsApp-automatiseringsværktøjssæt, men i baggrunden opsnapper alle beskeder, indsamler kontodata og etablerer en vedvarende bagdør til kompromitterede WhatsApp-konti. Fordi den ondsindede adfærd er vævet ind i legitim funktionalitet, kunne mange projekter have integreret den uden at bemærke noget åbenlyst galt.
Hvordan den falske WhatsApp Web API-pakke gled ind i npm
Det ondsindede bibliotek dukkede op på npm omkring maj 2025, uploadet af en bruger, der gik forbi "seiren_primrose" og beskrevet som en praktisk API til at interagere med WhatsApp Web. Under motorhjelmen er det en forgrening af det populære open source-projekt @whiskeysockets/baileys, et TypeScript/JavaScript-bibliotek, der tilbyder en WebSocket-baseret API til at bygge bots og automatiseringer oven på WhatsApp Web.
Ved nøje at spejle Baileys' offentlige brugerflade og adfærd sikrede trusselsaktøren, at Udviklere kunne slippe pakken i eksisterende arbejdsgange med minimale ændringerDokumentation og navngivning blev udformet til at se legitime ud, hvilket reducerede chancerne for, at travle teams ville sætte spørgsmålstegn ved dens oprindelse, især i betragtning af den måde, hvorpå npm-brugstal ofte fungerer som en indikator for tillid.
Pakken har samlet sig i løbet af cirka et halvt år mere end 56,000 samlede installationer og hundredvis af ugentlige downloadsI den periode forblev den søgbar og installerbar fra det officielle register, hvilket effektivt gjorde den til en stille trussel i forsyningskæden for enhver applikation, der integrerede WhatsApp-funktionalitet via JavaScript.
Forskere understreger, at intet ved den grundlæggende npm-publiceringsproces forhindrede denne upload: Enhver bruger kan udgive en pakke med et professionelt klingende navn, kopiere API'en for et kendt projekt og straks få synlighed i økosystemet. Det er præcis den virkelighed, angriberne udnyttede i dette tilfælde.
Misbrug af WebSocket-klienten til at indsamle WhatsApp-data
Kernen i angrebet ligger i, hvordan lotusbail indpakker den legitime WebSocket-klient, der kommunikerer med WhatsApps webprotokolI stedet for at bygge en ny grænseflade fra bunden, indsætter pakken en brugerdefineret container omkring standard Baileys WebSocket-implementeringen, hvilket tillader alle indgående og udgående beskeder at passere gennem malwaren først.
Koi Securitys analyse forklarer, at når en udvikler autentificerer sig med WhatsApp via dette bibliotek, wrapperen henter øjeblikkeligt autentificeringstokens og sessionsnøglerFra det tidspunkt spejles alle beskeder, der flyder gennem forbindelsen – indgående eller udgående – transparent til angriberens infrastruktur.
Denne spejling rækker ud over almindelig tekstchats. Pakken er udviklet til at exfiltrér beskedhistorik, kontaktlister og alle vedhæftede mediefiler, inklusive fotos, videoer, lydklip og dokumenter. I realiteten kloner det brugerens samtalemiljø: hvem de taler med, hvad de sender, og hvad de modtager.
Afgørende er det, at intet af dette bryder den normale adfærd, som udviklere forventer. Den officielle funktionalitet ser stadig ud til at fungere korrekt, bots fortsætter med at reagere, automatiseringer kører som normalt, og WhatsApp-sessioner forbliver stabile. Malwaren tilføjer blot, hvad en forsker beskrev som "en anden, usynlig modtager af alt", hvilket gør det ekstremt usandsynligt, at det bliver opdaget ved tilfældig observation.
Alt dette udløses ved almindelig brug af API'en. Offeret behøver ikke at køre ekstra kommandoer eller aktivere særlige flag; Godkendelse og rutinemæssig håndtering af beskeder er nok til at aktivere spionagefunktionerne., hvilket er en af grundene til, at kampagnen formåede at fungere uopdaget i flere måneder.
Snedig bagdørsadgang: parring af angriberens enhed
Ud over datatyveri introducerer lotusbail en mere snigende funktion: den introducerer stille og roligt parrer en enhed, der kontrolleres af angriberen, med offerets WhatsApp-kontoDette udnytter den samme arbejdsgang til parring af flere enheder, som legitime brugere bruger til at forbinde yderligere telefoner eller stationære computere til deres konto.
Under loginprocessen udløser malwaren en skjult parringsrutine. Forskere rapporterer, at koden genererer en tilfældig streng på otte tegn og sender den til WhatsApps enhedstilknytningsmekanisme, kaprer standardprocessen med et hardcodet parringsflow indlejret i den ondsindede pakke.
Når parringen er fuldført, bliver angriberens enhed effektivt en anden autoriseret klient på målkontoen. Fra da af, Trusselsaktører kan læse og sende beskeder, se kontakter og få adgang til medier, som om de var kontoejeren – og de kan gøre det uden længere at være afhængige af, at den originale, ondsindede pakke er til stede.
Det er dette, der giver angrebet dets vedholdenhed. Selv hvis en sikkerhedsbevidst udvikler opdager den mistænkelige afhængighed og fjerner den fra projektet, fortrydes kompromitteringen ikke automatisk. Den ondsindede npm-kode kan være væk, men angriberens tilknyttede enhed forbliver aktiv, indtil den eksplicit fjernes fra WhatsApps liste over betroede sessioner.
Eksperter understreger, at denne egenskab gør hændelsen til mere end en simpel infektion på pakkeniveau: det forvandler et npm-fejltrin til en komplet kontoovertagelse, der overlever ud over oprydning., og det kan fortsætte med at eksponere slutbrugere længe efter, at den sårbare software er blevet opdateret.
Hvad malwaren præcist stjæler – og hvordan den skjuler det
Tekniske noter fra Koi Security og andre forskere tegner et detaljeret billede af de data, der indsamles. Lotusbail-pakken er programmeret til at indsamle forskellige følsomme WhatsApp-artefakter, langt ud over blot beskedtekster.
Blandt de målrettede elementer er godkendelsestokens, sessionsnøgler og parringskoder bruges til at opretholde forbindelsen mellem klienter og WhatsApps servere. Med disse i hånden kan angribere genskabe eller opretholde sessioner, selvom bestemte enheder genstartes eller software geninstalleres.
Malwaren trækker også komplette lister over kontakter og gruppemedlemskaber, hvilket gør det muligt for trusselsaktører at kortlægge et offers sociale graf, identificere værdifulde mål eller vende sig mod yderligere konti. Kombineret med beskedindhold giver dette modstandere et bredt overblik over relationer, forretningsprocesser og private samtaler.
Filer, der udveksles via WhatsApp, eksponeres ligeledes. Da wrapperen ser alle WebSocket-frames, kan den indfang metadata og data for fotos, videoer, stemmenotater og dokumenter før de dekrypteres og gengives af klienten. Materialet forberedes derefter til udvisning til angriberkontrollerede servere.
For at undgå direkte detektion på netværksniveau bruger pakken en fuld, brugerdefineret implementering af RSA-krypteringFør alle indsamlede data forlader det kompromitterede miljø, krypteres de lokalt, hvilket betyder, at indtrængningsdetektionssystemer eller netværksovervågningssystemer, der er afhængige af dyb pakkeinspektion, kun vil se uigennemsigtige krypterede blobs, der bevæger sig til eksterne slutpunkter.
Derudover indeholder malwaren Anti-debugging-forsvar rettet mod at frustrere sikkerhedsanalytikereRapporter beskriver logik, der registrerer almindelige fejlfindings- eller analysescenarier og reagerer ved at skubbe koden ind i en uendelig løkke, hvilket effektivt låser processen og gør dynamisk inspektion meget vanskeligere.
Vedvarende risiko selv efter afinstallation af npm-pakken
Et af de mere kontraintuitive aspekter ved denne hændelse er, at Fjernelse af den ondsindede afhængighed fra et projekt sikrer ikke automatisk berørte WhatsApp-kontiDen vedvarende forbindelse, der oprettes gennem parringsprocessen, sikrer, at angriberens adgang overlever afinstallationen.
Sikkerhedsteams fremhæver, at lotusbail udnytter, hvordan WhatsApps multi-enhedsmodel er designet: Når en enhed er blevet forbundet, den fortsætter med at modtage beskeder og kontoopdateringer, indtil ejeren manuelt tilbagekalder den i appens indstillinger. Der er ingen automatisk timeout knyttet til livscyklussen for npm-pakken eller hostingapplikationen.
Som følge heraf kan selv flittige udviklere, der identificerer og sletter biblioteket, udsætte deres brugere for det, hvis de ikke også instruerer dem i det. gennemgå listen over tilknyttede enheder i WhatsAppEnhver ukendt session, der vises på listen, bør straks afbrydes.
Undersøgere understreger, at denne nuance ændrer, hvordan organisationer bør tænke på afhjælpning. Det er ikke længere nok at Fjern skadelig kode fra build pipelines og servereHændelsesresponsen skal også omfatte det applikationsøkosystem, som koden interagerede med – i dette tilfælde de WhatsApp-konti, der var knyttet til kompromitterede sessioner.
I praksis kan det være nødvendigt for berørte projekter at underret brugerne og roter WhatsApp-legitimationsoplysninger, genetablere sessioner via kendte, fungerende værktøjer og verificere, at ingen angriberkontrollerede enheder forbliver autoriserede på nogen konto, der bruges i produktion eller test.
Hvem afdækkede lotusbailen, og hvordan den blev undersøgt
Kampagnen kom frem i lyset takket være Koi Security, ledet af forsker Tuval Admoni, som offentliggjorde en dybdegående gennemgang af pakkens opførsel. Yderligere kommentarer fra forskeren Idan Dardikman hjalp med at præcisere, at malwaren opfører sig som en gennemsigtig indpakning omkring WebSocket-klienten, der aktiveres, så snart normal godkendelse og meddelelsesflow begynder.
Admoni opsummerede truslen i direkte vendinger: Pakken stjæler WhatsApp-loginoplysninger, opfanger alle beskeder, indsamler kontakter, installerer en vedvarende bagdør og krypterer alt, før det sendes afsted. til en angriberkontrolleret server. Den kombination af stealth, bredde og vedholdenhed er det, der hæver dette fra en simpel gene til en alvorlig hændelse i forsyningskæden.
Statisk analyse alene viste sig utilstrækkelig til at identificere risikoen. Fordi kodebasen eksponerer de samme grænseflader og grundlæggende adfærd som legitime biblioteker, Omdømmebaserede signaler såsom downloadantal, stjernebedømmelser eller simpel "linting" adskiller det ikke meget fra ægte værktøjer.Pakken kunne forblive åbenlys trods dens ondsindede tilføjelser.
Forskerne bemærkede også, at Antianalyseteknikker indbygget i malwaren bremsede reverse engineering, hvilket kræver mere omhyggelig instrumentering og sandboxing for fuldt ud at kortlægge dens kapaciteter. Da rapporten blev offentliggjort, havde kampagnen allerede haft flere måneders operationstid.
Sagen har hurtigt sluttet sig til en voksende liste af npm-baserede angreb, der fremhæver, hvordan Åbne pakkeregistre er blevet et primært terræn for trusler i forsyningskædenSelvom platforme kan reagere ved at hive kendte dårlige pakker væk, ligger den indledende byrde for opdagelse ofte stadig på uafhængige sikkerhedsteams og årvågne udviklere.
Bredere bølge af malware i forsyningskæden rettet mod udviklere
Opdagelsen af lotusbal faldt sammen med afsløringer om andre ondsindede pakker rettet mod udviklernes økosystemer, hvilket understreger, at denne hændelse er en del af en bredere tendens snarere end en engangsanomali.
I parallel forskning detaljerede sikkerhedsfirmaet ReversingLabs en klynge af 14 uærlige NuGet-pakker, der udgiver sig for Nethereum og andre kryptovaluta-relaterede biblioteker i .NET-verdenen. Ligesom WhatsApp npm-sagen blev disse pakker designet til at passe sammen med legitime værktøjer, der bruges af udviklere, der arbejder med blockchain og digitale aktiver.
Ifølge disse resultater er NuGet-pakkerne omdirigeret midler fra kryptovalutatransaktioner til tegnebøger kontrolleret af angribere eller udtrak lydløst private nøgler og seed-fraser, når overførsler oversteg 100 amerikanske dollars. Pakkenavne som "binance.csharp", "Bitcoin Core", "bitapi.net", "coinbase.api.net", "googleads.api", "nbitcoin.unified", "nethereumnet", "nethereumunified", "nethereum.all", "solananet", "solnetall", "solnetall.net", "solnetplus" og "solnetunified" blev udformet for at fremkalde velkendte værktøjer og tjenester.
For at opbygge tillid, angiveligt operatørerne bag disse biblioteker oppustede downloadstatistikker og pressede hyppige opdateringer at simulere aktiv vedligeholdelse og popularitet. Dette social-engineering-lag afspejler den måde, hvorpå lotusbail stolede på npm's synlighed og Baileys-projektets omdømme for at få fremgang.
Eksperter fra begge forskerhold er enige om samme pointe: Angreb i forsyningskæden mod udviklere aftager ikke; de bliver mere sofistikeredeModstandere har lært at målrette præcis de værktøjer, som ingeniører er afhængige af hver dag, hvad enten det er til integration med beskeder, økonomiske operationer eller generel infrastruktur.
Hvorfor konventionelle forsvarssystemer kæmper med trusler fra npm-forsyningskæden
Lotusbail fremhæver også begrænsningerne ved mange nuværende forsvarsværker, der bruges til at beskytte softwarepipelines. Traditionelle tilgange som f.eks. statisk kodescanning, grundlæggende linting, simple signaturtjek og omdømmemålinger er ofte indstillet til at spotte åbenlyse røde flag, men de kan nemt overse subtil ondsindet logik indlejret i ellers gyldige pakker.
Fordi biblioteket implementerer den forventede WhatsApp Web API-overflade korrekt, Automatiserede værktøjer ser muligvis ikke andet end en let modificeret forgrening af et kendt, fungerende arkivSelv manuelle stikprøvekontroller afslører muligvis ikke faren med det samme, især når den skadelige kode er sammenflettet med legitime netværks- og krypteringsrutiner.
Omdømmebaserede systemer klarer sig ikke bedre her. Mange organisationer sætter ubevidst lighedstegn mellem høje downloadtal og hyppige opdateringer med sikkerhed, men i dette tilfælde blev disse signaler enten naturligt akkumuleret over tid eller kunne kunstigt forstærkes af angriberen. Popularitet garanterer ikke integritet, når hvem som helst kan udgive en lignende pakke med en overbevisende beskrivelse.
Anti-debugging-laget komplicerer yderligere dynamisk analyse. Når en pakke kan detektere, at den er kører under instrumentering eller er tilsluttet en debugger og derefter udløser uendelige løkker eller nedbrud, automatiserede sandkasser har svært ved at opnå en komplet adfærdsprofil. Det forsinker til gengæld oprettelsen af signaturer og offentliggørelsen.
Disse udfordringer peger på et behov for mere robust, adfærdsorienteret overvågning i produktionsmiljøer, hvor mistænkelige netværksstrømme, uventede krypteringsmønstre eller unormal dataadgang kan markeres, selvom statiske kontroller oprindeligt godkender en pakke.
Hvad udviklere og organisationer kan gøre lige nu
Sikkerhedsspecialister, der undersøgte Lotusbail-hændelsen, understreger, at Udviklere bør behandle tredjepartspakker som upålidelig kode, selv når de kommer fra store registre som npmPraktiske skridt kan bidrage til at reducere eksponeringen for lignende trusler i fremtiden.
Først opfordres holdene til at verificere oprindelsen af kritiske afhængighederDet omfatter at kontrollere officiel dokumentation eller arkiver for anbefalede pakkenavne, validere udgiveridentiteter og foretrække biblioteker, der vedligeholdes af veletablerede organisationer eller kendte vedligeholdere, når det er muligt.
For det andet anbefaler eksperter tilføjelse af runtime-overvågning og anomali-detektion omkring følsomme integrationer såsom messaging-API'er, betalingsmoduler eller kryptografiske værktøjer. Usædvanlige udgående forbindelser, uventet krypteringsaktivitet eller datastrømme, der ikke stemmer overens med dokumenteret adfærd, kan være tidlige tegn på en kompromitteret afhængighed.
For det tredje bør organisationer opretholde en oversigt over alle tredjepartspakker i brug og sporing af ændringer over tidFastlåsning af versioner, gennemgang af ændringslogge og udførelse af sikkerhedsvurderinger før større opgraderinger kan hjælpe med at opdage problematisk kode, før den når produktion.
Endelig, i tilfælde hvor WhatsApp-integrationer var afhængige af det ondsindede npm-bibliotek, bør hændelsesresponsen gå ud over kodeoprydning. Berørte brugere bør guides til Åbn WhatsApps indstillinger, undersøg tilknyttede enheder og fjern eventuelle ukendte sessionerUden dette trin kan angriberens parrede enhed muligvis fortsat have fuld adgang til samtaler og indhold.
Lotusbail-episoden tjener som en skarp påmindelse om, at Det er ikke længere nok at stole på en pakke, fordi den ser bekendt ud, har tusindvis af downloads eller efterligner et populært projekt.Da angribere i stigende grad målretter sig mod udviklerosystemer, er omhyggelig kontrol af afhængigheder og nøje observation af runtime-adfærd blevet essentielle dele af at holde WhatsApp-konti – og de applikationer, der er bygget omkring dem – virkelig sikre.
