Le package NPM 'Lotusbail' compromet des comptes WhatsApp via vol d’identifiants et backdoor

Security Affairs (par Pierluigi Paganini) relaie un rapport de Koi Security sur le package NPM malveillant “Lotusbail”, un fork de la librairie Baileys pour l’API WhatsApp Web, actif depuis six mois et totalisant plus de 56 000 téléchargements.

• Le package fonctionne comme une API WhatsApp pleinement opérationnelle, en enveloppant le client WebSocket légitime afin que tous les messages y transitent d’abord. Il intercepte identifiants, messages, contacts et médias tout en maintenant le fonctionnement normal, rendant la détection difficile.

• Les données volées sont exfiltrées après chiffrement RSA personnalisé vers une infrastructure dissimulée et fortement obfusquée. Le malware détourne l’appairage d’appareil WhatsApp à l’aide d’un code d’appairage hardcodé (chiffré en AES) pour lier secrètement l’appareil de l’attaquant au compte de la victime. L’accès persiste même après désinstallation du package jusqu’au déliage manuel des appareils. L’attaquant obtient un contrôle complet (lecture/envoi de messages, téléchargement de médias, accès aux contacts).

• Pour l’évasion, le package intègre 27 pièges anti-debug gelant l’exécution s’il détecte des outils d’analyse, vérifie la présence de débogueurs et de sandboxes, et recourt à une obfuscation lourde. Des commentaires internes labellisent des sections malveillantes, illustrant une attaque de chaîne d’approvisionnement soignée et professionnelle. Le rapport souligne que l’analyse statique et la réputation (56 000 téléchargements) ne suffisent pas, plaidant pour une analyse comportementale à l’exécution.

• IOCs connus:

  • Package NPM: “Lotusbail” (fork de “Baileys”)

• TTPs observés:

  • 🧰 Attaque de supply chain via package NPM
  • 🔌 Wrap du client WebSocket pour interception des flux
  • 🔐 Exfiltration chiffrée (RSA personnalisé) et C2 masqué/obfusqué
  • 📱 Détournement de l’appairage par code hardcodé (chiffré AES) pour persistance via appareil lié
  • 🛡️ Anti-debug (27 pièges), détection de sandbox, code obfusqué

Cet article de presse spécialisé synthétise les découvertes de Koi Security et vise à documenter une campagne de compromission via un package NPM se faisant passer pour une API WhatsApp fonctionnelle.

🔗 Source originale : https://securityaffairs.com/186174/malware/npm-package-with-56000-downloads-compromises-whatsapp-accounts.html