Pacchetto npm ruba i messaggi WhatsApp
Topic
Approfondimenti
Trending
tutti

Pacchetto npm ruba i messaggi WhatsApp

Un pacchetto npm permette ai cybercriminali di accedere all'account WhatsApp e rubare i messaggi (una backdoor mantiene la persistenza).
Pacchetto npm ruba i messaggi WhatsApp
Sicurezza
Un pacchetto npm permette ai cybercriminali di accedere all'account WhatsApp e rubare i messaggi (una backdoor mantiene la persistenza).
Google AI Studio

I ricercatori di Koi Security hanno individuato un pacchetto npm che permette di accedere all’account WhatsApp e rubare tutti i messaggi. Essendo il fork di un noto pacchetto offre realmente le funzionalità pubblicizzate, ma ce ne sono altre nascoste, tra cui quelli di infostealer e backdoor. Gli sviluppatori devono eliminarlo al più presto.

Attenzione al pacchetto lotusbail

Il pacchetto in questione è lotusbail, disponibile tramite npm da almeno sei mesi e scaricato oltre 56.000 volte. La sua pericolosità è difficile da scoprire perché è un fork del pacchetto WhiskeySockets Baileys, quindi offre le stesse funzionalità (libreria API per WhatsApp Web). In realtà è un tradizionale attacco supply chain.

Il pacchetto include un client WebSocket legittimo che comunica con WhatsApp. Il suo wrapper acquisisce le credenziali di login e intercetta i messaggi in entrata e uscita dall’app. In pratica aggiunge un secondo destinatario per ogni messaggio. Vengono inoltre catturati i token di autenticazione, i file multimediali e l’elenco dei contatti. I dati vengono quindi inviati al server remoto in forma cifrata.

Per evitare la rilevazione sono usati quattro livelli di offuscamento: manipolazione delle variabili Unicode, compressione LZString, codifica Base-91 e crittografia AES. La “funzionalità” più pericolosa è quella che garantisce la persistenza (in pratica una backdoor).

Quando lo sviluppatore usa la libreria per l’autenticazione, il malware effettua l’accoppiamento tra l’account WhatsApp e il dispositivo del cybercriminale, esattamente come avviene con WhatsApp Web. La cancellazione del pacchetto npm non scollega il dispositivo, quindi l’accesso alle conversazioni rimane finché non viene effettuata la rimozione manuale nelle impostazioni dell’app (se l’utente si accorge della presenza di un dispositivo sconosciuto).

La scoperta del pacchetto lotusbail dimostra che gli attacchi supply chain diventano sempre più sofisticati. Non è sufficiente analizzare il codice, ma è necessario anche monitorare il funzionamento runtime per individuare connessioni e attività sospette.

Fonte: Bleeping Computer

Pubblicato il 24 dic 2025

Link copiato negli appunti

Ti potrebbe interessare

Attacco DDoS contro La Poste: servizi online fuori uso

Attacco DDoS contro La Poste: servizi online fuori uso
Una VPN sotto l'albero: l'offerta di Surfshark, fino al 2028

Una VPN sotto l'albero: l'offerta di Surfshark, fino al 2028
MacSync aggira Gatekeeper di macOS e ruba i dati

MacSync aggira Gatekeeper di macOS e ruba i dati
Meta deve fornire tutti i dati degli utenti

Meta deve fornire tutti i dati degli utenti
Attacco DDoS contro La Poste: servizi online fuori uso

Attacco DDoS contro La Poste: servizi online fuori uso
Una VPN sotto l'albero: l'offerta di Surfshark, fino al 2028

Una VPN sotto l'albero: l'offerta di Surfshark, fino al 2028
MacSync aggira Gatekeeper di macOS e ruba i dati

MacSync aggira Gatekeeper di macOS e ruba i dati
Meta deve fornire tutti i dati degli utenti

Meta deve fornire tutti i dati degli utenti
Luca Colantuoni
Pubblicato il
24 dic 2025
Link copiato negli appunti