Uma nova e engenhosa tática vem sendo empregada por cibercriminosos para explorar a popularidade do WhatsApp e disseminar softwares maliciosos. Um falso pacote de API da plataforma, projetado para roubar perfis de usuários, seus contatos e tokens de login, já foi baixado mais de 56 mil vezes, demonstrando o alcance desta ameaça. Esse tipo de ataque se apresenta como um pacote legítimo, mas esconde uma campanha criminosa que captura informações sensíveis.
Segundo especialistas da Koi Security, o pacote malicioso, denominado “lotusbail”, começou a circular em maio de 2025 no registro de pacotes NPM, amplamente utilizado por desenvolvedores. O download ocorre sob a falsa premissa de funcionalidade normal, mas logo se transforma em um meio de coletar credenciais do WhatsApp do usuário. Esse processo permite também a interceptação de mensagens e a instalação de um backdoor altamente persistente, garantindo que os dados capturados sejam enviados para servidores controlados por criminosos.
Outro aspecto alarmante desta ameaça é a capacidade de pareamento do dispositivo do hacker com a conta legítima da vítima. O programa consegue capturar tokens de autenticação e outras credenciais críticas, garantindo controle total sobre o perfil da plataforma. Este pareamento é um passo essencial para assegurar um acesso contínuo por parte dos criminosos, mesmo depois que o pacote falso é removido. A vítima, geralmente, permanece inconsciente sobre a invasão, já que nenhuma notificação explícita é apresentada.
A persistência do acesso é um dos fatores mais preocupantes. Mesmo após a desinstalação do pacote, os hackers mantêm a habilidade de explorar a conta comprometida. Para remover a conexão indesejada, é necessário que o usuário tome medidas específicas nas configurações de segurança do WhatsApp, um conhecimento que muitas vezes falta ao usuário comum, facilitando a continuidade do ataque.
Para garantir que o malware passe despercebido, os desenvolvedores do software nocivo implementaram técnicas de antidepuração. Quando ferramentas de análise ou depuração de software são empregadas para investigar a atividade maliciosa, o malware entra em um estado de
