Un pachet publicat pe platforma Node Package Manager, denumit lotusbail, a fost detectat de compania de securitate Koi Security. Pachetul pretinde să furnizeze o interfață pentru WhatsApp Web, însă conține funcții ascunse de spionaj. Acesta a fost descărcat de peste 56.000 de utilizatori.

Codul este un derivat al proiectului WhiskeySockets Baileys, utilizat în mod normal pentru boturi WhatsApp Web. În interior, malware‑ul captează tokenurile de autentificare și cheile de sesiune, precum și fiecare mesaj transmis și primit. Interceptarea se realizează înainte ca datele să fie procesate de client.

Informațiile furate sunt criptate cu o implementare RSA personalizată și expediate către serverele atacatorilor. Astfel, traficul nu este detectat de sistemele de monitorizare a rețelei. Acest lucru permite o persistență ascunsă a atacului.

Mai mult, pachetul poate asocia un dispozitiv extern contului victimă prin mecanismul oficial de legare a dispozitivelor. O secvență aleatorie de 8 caractere este generată și introduse în dispozitivul atacatorului, ceea ce conferă acces neautorizat la conversații.

Pentru a preveni expunerea, utilizatorii trebuie să verifice periodic lista de dispozitive asociate din setările WhatsApp. Dacă se găsesc dispozitive necunoscute, acestea trebuie dezactivate imediat. Dezinstalarea pachetului elimină codul, însă legătura cu dispozitivul trebuie tăiată manual.

Pachetul a funcționat de aproximativ șase luni și a fost instalat în sute de mii de proiecte npm. În prezent, comunitatea de dezvoltatori este avertizată să evite dependințele suspecte și să monitorizeze sursele de cod. Efectele pot fi permanente dacă dispozitivul asociat nu este dezactivat.