Um pacote malicioso publicado no repositório npm foi identificado disfarçado como uma API legítima do WhatsApp, com o objetivo de roubar tokens de autenticação, capturar mensagens e comprometer contas dos usuários que integravam a biblioteca a seus projetos. A ameaça passou despercebida por semanas e já registrava milhares de downloads.
Nomeado “whatsapp-web-js-plus”, o pacote imitava um projeto legítimo amplamente utilizado por desenvolvedores, mas continha código adicional que coletava dados sensíveis e os enviava para um servidor remoto controlado pelos atacantes. Entre os dados capturados estavam sessões autenticadas, tokens, listas de contatos e históricos de conversa. A biblioteca falsa foi projetada para se comportar como uma API funcional, o que dificultou a identificação do golpe.
O código malicioso era disfarçado dentro de trechos aparentemente inofensivos e executava suas ações em segundo plano, sem levantar suspeitas imediatas durante a execução dos projetos. Com isso, qualquer sistema ou aplicação que utilizasse o pacote infectado podia, sem saber, expor dados de usuários e entregar controle das sessões do WhatsApp aos invasores. Isso permitiria ações como leitura de mensagens em tempo real, interceptação de informações e movimentação lateral em redes corporativas.
A campanha foi associada a um pacote chamado “lotusbail”, que teria atuado como ponte entre o malware e os servidores de coleta. Estima-se que o ataque tenha afetado mais de 56000 instalações antes da remoção do pacote do repositório npm. Essa ação faz parte de uma tendência crescente de ataques à cadeia de suprimentos de software, nos quais bibliotecas populares ou suas versões falsas são usadas como vetor para espalhar malwares de forma silenciosa e altamente eficaz, especialmente em ambientes de desenvolvimento.
A falsa API foi denunciada e removida, mas especialistas alertam que outras variantes semelhantes podem surgir. O ataque mostra como confiança excessiva em bibliotecas de código aberto sem auditoria prévia pode se tornar uma vulnerabilidade crítica.
