Cyber Security News relaie une analyse de Koi identifiant un package npm malveillant, “lotusbail”, actif depuis six mois et se présentant comme un fork de “@whiskeysockets/baileys”. Le module, téléchargé plus de 56 000 fois, fonctionne réellement comme une API WhatsApp Web, ce qui lui permet de passer en production sans éveiller de soupçons tout en dérobant des données sensibles.

– Le package vole des jetons d’authentification, des clés de session WhatsApp, l’historique des messages (passés et présents), les annuaires de contacts (numéros) ainsi que les fichiers média et documents. Il maintient en outre un accès persistant aux comptes compromis.

– Le vol s’opère en enveloppant le client WebSocket légitime qui se connecte aux serveurs WhatsApp, créant un man-in-the-middle qui duplique tout le trafic. La donnée exfiltrée est chiffrée par une couche RSA personnalisée avant envoi, alors que WhatsApp fournit déjà le chiffrement de bout en bout — un signe clair que ce chiffrement additionnel sert à masquer la fuite.

– L’adresse du serveur d’exfiltration est dissimulée via plusieurs couches: manipulation de variables Unicode, compression LZString, encodage Base‑91 et chiffrement AES. Le package inclut aussi 27 pièges en boucles infinies qui s’activent en présence d’outils de débogage pour bloquer l’analyse 🧪.

– La backdoor détourne le système d’appairage d’appareil de WhatsApp grâce à un code d’appairage en dur chifré en AES, permettant à l’attaquant de lier son propre appareil aux comptes victimes et de conserver le contrôle même après suppression du package.

IOCs connus

  • Package npm: lotusbail
  • Se présente comme fork de: @whiskeysockets/baileys
  • Période d’activité: ~6 mois
  • Téléchargements: >56 000

TTPs observés

  • Abus de la chaîne d’approvisionnement via distribution d’un package npm malveillant
  • MITM applicatif en enveloppant le client WebSocket légitime
  • Exfiltration chiffrée (RSA personnalisé; destination obscurcie par Unicode/LZString/Base‑91/AES)
  • Evasion/anti-analyse avec 27 boucles infinies déclenchées au débogage
  • Persistance/prise de contrôle via détournement de l’appairage d’appareil et backdoor

Il s’agit d’un article de presse spécialisé visant à alerter sur une campagne de malware et à détailler ses mécanismes et son impact.

🔗 Source originale : https://cybersecuritynews.com/malicious-npm-package-with-56k-downloads/

🖴 Archive : https://web.archive.org/web/20251223090716/https://cybersecuritynews.com/malicious-npm-package-with-56k-downloads/