Onderzoekers waarschuwen voor een malafide npm-package die WhatsApp-berichten van slachtoffers steelt. De software is in een half jaar tijd meer dan 56.000 keer gedownload. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages.

De malafide package in kwestie heeft de naam lotusbail en doet zich voor als een WhatsApp Web API library. Het biedt ook de beloofde functionaliteit. Het is een fork van de legitieme Baileys npm-package. Via deze software kunnen ontwikkelaars bots en applicaties bouwen die WhatsApp-berichten kunnen versturen en ontvangen. De lotusbail-package is sinds zes maanden via de npm Registry te downloaden. In die periode is dat 56.000 keer gedaan, aldus securitybedrijf Koi Security.

Lotusbail steelt echter authentication tokens en session keys van ontwikkelaars, alsmede de chatgeschiedenis, contacten, documenten en mediabestanden. Daarnaast koppelen de aanvallers hun apparaat aan het WhatsApp-account van het slachtoffer. Voor de communicatie met WhatsApp maakt Lotusbail gebruik van een legitieme WebSocket client. Voordat een bericht via deze client wordt verstuurd gaan de berichten eerst langs de socket wrapper van de malware die elk bericht ook naar een andere ontvanger stuurt. Daarnaast worden op deze manier ook inloggegevens gestolen.

"Al je WhatsApp authentication tokens, elk bericht verstuurd of ontvangen, volledige contactlijsten, mediabestanden, alles dat via de API gaat, wordt gedupliceerd en klaargemaakt voor exfiltratie", aldus de onderzoekers. Tevens probeert de malware het WhatsApp-account van slachtoffers te koppelen aan de apparaten van de aanvallers. Op het moment van schrijven is de malafide npm-package nog in de npm Registry te vinden.