Pesquisadores de segurança emitiram um alerta sobre um novo ataque à cadeia de suprimentos de software envolvendo um pacote malicioso publicado no repositório npm. Disfarçado como uma API funcional do WhatsApp, o pacote é capaz de interceptar mensagens, roubar contatos, capturar tokens de autenticação e até vincular silenciosamente o dispositivo do invasor à conta da vítima, resultando em comprometimento total da conta.
O que é o pacote malicioso “lotusbail”
A biblioteca maliciosa, batizada de “lotusbail”, foi publicada em maio de 2025 por um usuário identificado como seiren_primrose. Desde então, já ultrapassou 56 mil downloads, com mais de 700 apenas na última semana, indicando um alto nível de exposição. Mesmo após a divulgação pública do ataque, o pacote continua disponível no npm, ampliando os riscos para desenvolvedores e empresas que utilizam integrações com o WhatsApp, especialmente em ambientes corporativos.
Como o ataque funciona
De acordo com pesquisadores da Koi Security, o pacote se comporta como uma API legítima, mas esconde funcionalidades altamente maliciosas. Entre as capacidades identificadas estão:
- Roubo de credenciais do WhatsApp
- Interceptação de todas as mensagens trocadas
- Coleta completa da lista de contatos com números de telefone
- Captura de arquivos de mídia e documentos
- Instalação de uma porta dos fundos persistente no ambiente comprometido
O malware é inspirado diretamente na biblioteca legítima @whiskeysockets/baileys, amplamente utilizada para integração com o WhatsApp Web via WebSockets. A principal diferença é que o lotusbail adiciona um wrapper malicioso de WebSocket, por onde passam mensagens e dados de autenticação, permitindo a espionagem completa das comunicações. Todos os dados roubados são criptografados e enviados para servidores controlados pelos atacantes.
Sequestro do pareamento de dispositivos
O ponto mais crítico do ataque está no sequestro do processo de pareamento de dispositivos. Durante a autenticação, a biblioteca utiliza um código de pareamento embutido no próprio código-fonte para vincular também o dispositivo do hacker à conta do WhatsApp da vítima.
Com isso, o invasor obtém acesso persistente à conta, mesmo que o pacote malicioso seja removido posteriormente. O acesso só é interrompido se o usuário desvincular manualmente o dispositivo desconhecido nas configurações do WhatsApp, algo que muitas vítimas não percebem imediatamente.
Técnicas de evasão e dificuldade de detecção
O pacote também inclui mecanismos antidepuração, que fazem o código entrar em um loop infinito quando ferramentas de análise são detectadas, dificultando investigações e análises forenses. Segundo os pesquisadores, o ataque é ativado automaticamente assim que o desenvolvedor utiliza a biblioteca para se conectar ao WhatsApp, sem necessidade de chamadas específicas ou comportamentos suspeitos.
Esse cenário torna a ameaça ainda mais perigosa, já que o código “funciona como prometido”, ao mesmo tempo em que executa ações ocultas.
Uma tendência crescente em ataques à cadeia de suprimentos
O caso do lotusbail reforça uma tendência preocupante no ecossistema de software: ataques à cadeia de suprimentos estão cada vez mais sofisticados e difíceis de detectar. Pacotes com aparência legítima, alto número de downloads e manutenção ativa acabam passando despercebidos por mecanismos tradicionais de confiança.
Como destacam os pesquisadores, esses malwares se escondem justamente “entre o código que funciona e o código que faz mais do que promete”.
Conclusão
O incidente destaca a importância de auditorias rigorosas de dependências, uso de ferramentas de análise de segurança de código aberto e adoção de políticas de Zero Trust no desenvolvimento de software. Em um cenário onde até bibliotecas populares podem se tornar vetores de ataque, a atenção à cadeia de suprimentos nunca foi tão crítica.
