Threats
O pacote 'lotusbail', disfarçado como biblioteca legítima, acumulou mais de 56 mil downloads e permite acesso persistente às contas roubadas
26/12/2025
|
Um pacote malicioso disponível no repositório npm, designado 'lotusbail', tem estado ativo há pelo menos seis meses e acumulou mais de 56 mil downloads ao disfarçar-se como uma biblioteca legítima da API do WhatsApp Web. Descoberto pelos investigadores da empresa de segurança Koi Security, o pacote é um fork do projeto popular WhiskeySockets Baileys e oferece funcionalidades legítimas, ao mesmo tempo que rouba tokens de autenticação e chaves de sessão do WhatsApp, interceta e grava todas as mensagens enviadas e recebidas e exfiltra listas de contactos, ficheiros multimédia e documentos. “O pacote envolve o cliente WebSocket legítimo que comunica com o WhatsApp. Cada mensagem que passa pela aplicação é primeiro processada pelo wrapper malicioso”, explicam os investigadores. “Quando se autentica, o wrapper captura as suas credenciais. Quando chegam mensagens, são intercetadas. Quando envia mensagens, são gravadas.” As informações capturadas são encriptadas com uma implementação personalizada de RSA e protegidas por múltiplas camadas de ofuscação, que incluem truques Unicode, compressão LZString e encriptação AES antes de serem enviadas para fora do sistema. Além da atividade de roubo de dados, o pacote contém código que vincula o dispositivo do atacante à conta WhatsApp da vítima através do processo de emparelhamento de dispositivos, o que proporciona ao atacante acesso persistente à conta, mesmo após a desinstalação do pacote malicioso, mantendo o acesso até que a vítima remova manualmente os dispositivos ligados nas definições do WhatsApp. A Koi Security reporta que o 'lotusbail' utiliza um conjunto de 27 armadilhas de ciclos infinitos que complicam a depuração e análise do código. A Koi Security alerta que rever apenas o código-fonte para identificar linhas maliciosas não é suficiente; recomenda-se monitorizar o comportamento em tempo de execução para detetar ligações externas inesperadas ou atividades suspeitas durante os processos de autenticação associados a novas dependências, de forma a validar a sua segurança. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
