Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuw kwaadaardig pakket in de npm-repository dat werkt als een volledig functionele WhatsApp API, maar ook de mogelijkheid bevat om elk bericht te onderscheppen en het apparaat van de aanvaller te koppelen aan het WhatsApp-account van een slachtoffer.
Het pakket, genaamd “lotusbail”, is meer dan 56.000 keer gedownload sinds het in mei 2025 voor het eerst naar het register werd geüpload door een gebruiker met de naam “seiren_primrose”. Hiervan vonden er de afgelopen week 711 downloads plaats. De bibliotheek kan op het moment van schrijven nog steeds worden gedownload.
Onder de dekmantel van een functionele tool steelt de malware “uw WhatsApp-inloggegevens, onderschept elk bericht, verzamelt uw contacten, installeert een permanente achterdeur en codeert alles voordat het naar de server van de bedreiging wordt gestuurd”, zei Koi Security-onderzoeker Tuval Admoni in een rapport dat dit weekend werd gepubliceerd.
Het is met name uitgerust om authenticatietokens en sessiesleutels, berichtgeschiedenis, contactlijsten met telefoonnummers, evenals mediabestanden en documenten vast te leggen. Belangrijker nog is dat de bibliotheek is geïnspireerd op @whiskeysockets/baileys, een legitieme, op WebSockets gebaseerde TypeScript-bibliotheek voor interactie met de WhatsApp Web API.
Dit wordt bereikt door middel van een kwaadaardige WebSocket-wrapper waardoor authenticatie-informatie en berichten worden gerouteerd, waardoor inloggegevens en chats kunnen worden vastgelegd. De gestolen gegevens worden in gecodeerde vorm verzonden naar een door de aanvaller beheerde URL.
De aanval stopt daar niet, want het pakket bevat ook geheime functionaliteit om permanente toegang tot het WhatsApp-account van het slachtoffer te creëren door het koppelingsproces van het apparaat te kapen met behulp van een hardgecodeerde koppelingscode.
“Als je deze bibliotheek gebruikt om te authenticeren, koppel je niet alleen je applicatie, maar ook het apparaat van de bedreigingsacteur”, zegt Admoni. “Ze hebben volledige, permanente toegang tot je WhatsApp-account, en je hebt geen idee dat ze er zijn.”
Door hun apparaat te koppelen aan de WhatsApp van het doelwit, wordt niet alleen voortdurende toegang tot hun contacten en gesprekken mogelijk gemaakt, maar wordt ook permanente toegang mogelijk, zelfs nadat het pakket van het systeem is verwijderd, aangezien het apparaat van de bedreigingsacteur gekoppeld blijft aan het WhatsApp-account totdat het wordt ontkoppeld door naar de instellingen van de app te navigeren.
Idan Dardikman van Koi Security vertelde The Hacker News dat de kwaadaardige activiteit wordt geactiveerd wanneer de ontwikkelaar de bibliotheek gebruikt om verbinding te maken met WhatsApp.
“De malware omhult de WebSocket-client, dus zodra je je authenticeert en begint met het verzenden/ontvangen van berichten, begint de onderschepping”, aldus Dardikman. “Er is geen speciale functie nodig buiten het normale gebruik van de API. De backdoor-koppelingscode wordt ook geactiveerd tijdens de authenticatiestroom – zodat het apparaat van de aanvaller wordt gekoppeld zodra u uw app met WhatsApp verbindt.”
Bovendien is “lotusbail” uitgerust met anti-debugging-mogelijkheden die ervoor zorgen dat het in een oneindige loop-trap terechtkomt wanneer debugging-tools worden gedetecteerd, waardoor de uitvoering vastloopt.
“Aanvallen op de toeleveringsketen worden niet langzamer, ze worden beter”, zegt Koi. “Traditionele beveiliging onderkent dit niet. Statische analyse ziet werkende WhatsApp-code en keurt deze goed. Reputatiesystemen hebben 56.000 downloads gezien en vertrouwen erop. De malware verbergt zich in de kloof tussen ‘deze code werkt’ en ‘deze code doet alleen wat hij beweert.'”
Schadelijke NuGet-pakketten richten zich op het crypto-ecosysteem
De onthulling komt op het moment dat ReversingLabs details deelde van 14 kwaadaardige NuGet-pakketten die zich voordoen als Nethereum, een .NET-integratiebibliotheek voor de gedecentraliseerde Ethereum-blockchain, en andere cryptocurrency-gerelateerde tools om transactiegelden om te leiden naar door de aanvaller gecontroleerde portemonnees wanneer het overdrachtsbedrag meer dan $100 bedraagt, of om privésleutels en zaadzinnen te exfiltreren.
De namen van de pakketten, gepubliceerd vanuit acht verschillende accounts, staan hieronder vermeld –
- binance.csharp
- Bitcoincore
- bybitapi.net
- Coinbase.net.api
- googleads.api
- nbitcoin.unified
- nethereumnet
- nethereumuniseerd
- netherеum.all
- solananet
- solnetall
- solnetall.net
- solnetplus
- Solnet verenigd
De pakketten hebben gebruik gemaakt van verschillende technieken om gebruikers een vals gevoel van vertrouwen in de beveiliging te geven, waaronder het opdrijven van het aantal downloads en het publiceren van tientallen nieuwe versies in korte tijd om de indruk te wekken dat het actief wordt onderhouden. De campagne dateert helemaal uit juli 2025.
De kwaadaardige functionaliteit is zodanig geïnjecteerd dat deze alleen wordt geactiveerd wanneer de pakketten door ontwikkelaars worden geïnstalleerd en specifieke functies in andere applicaties worden ingebed. Opvallend onder de pakketten is GoogleAds.API, dat zich richt op het stelen van OAuth-informatie van Google Ads in plaats van het exfiltreren van portemonneegegevensgeheimen.
“Deze waarden zijn zeer gevoelig, omdat ze volledige programmatische toegang tot een Google Ads-account mogelijk maken en, als ze uitlekken, kunnen aanvallers de advertentieclient van het slachtoffer nabootsen, alle campagne- en prestatiegegevens lezen, advertenties maken of aanpassen en zelfs onbeperkt geld uitgeven aan een kwaadaardige of frauduleuze campagne”, aldus ReversingLabs.
