Uma nova e sofisticada ameaça está comprometendo a segurança de milhares de usuários do WhatsApp. Criminosos cibernéticos estão disseminando um pacote de API falso que, sob a aparência de uma ferramenta legítima, executa um sequestro completo de contas. Além disso, este malware já registrou mais de 56 mil downloads, evidenciando seu amplo alcance e a urgência em compreender seu funcionamento.
O Que é o Pacote Lotusbail?
Especialistas em cibersegurança da Koi Security identificaram a operação maliciosa. Ela gira em torno de um pacote corrompido chamado “lotusbail”, disponível no gerenciador de pacotes NPM. Desde maio de 2025, criminosos propagam este pacote de API falso como uma solução de integração. No entanto, sua verdadeira função é totalmente destrutiva.
Inicialmente, o software parece funcionar normalmente. Contudo, após a instalação, ele inicia uma coleta silenciosa de credenciais. Portanto, tokens de login, contatos e históricos de mensagens tornam-se alvo. O malware também instala um backdoor persistente e criptografa os dados roubados antes de enviá-los a servidores controlados pelos atacantes.
O Mecanismo de Pareamento Malicioso
Vinculação Permanente do Dispositivo
O aspecto mais crítico desta ameaça é seu mecanismo de pareamento. O pacote de API falso possui recursos ocultos que capturam tokens de autenticação. Consequentemente, ele consegue vincular o dispositivo do hacker à conta legítima da vítima no WhatsApp.
Dessa forma, quando o usuário realiza o processo de autenticação padrão, ele autoriza, sem saber, uma conexão permanente. Por exemplo, isso permite que o criminoso tenha acesso total ao perfil, podendo interceptar mensagens e assumir o controle da identidade digital da vítima.
A Persistência do Acesso Criminoso
Um ponto que exige atenção redobrada é a persistência do acesso. Mesmo que a vítima desinstale o pacote de API falso, a vinculação maliciosa permanece ativa. Em outras palavras, o dispositivo do criminoso continua pareado com a conta. Para reverter isso, é necessário acessar manualmente as configurações do WhatsApp e revogar a sessão.
Ademais, o malware ativa automaticamente o código de pareamento do backdoor sempre que o usuário acessa sua conta. Portanto, o controle é contínuo e reativo.
Técnicas de Evasão e Camuflagem
Para dificultar a detecção, os criadores do pacote implementaram técnicas avançadas de ofuscação. O código malicioso utiliza recursos de antidepuração. Assim, quando ferramentas de análise de segurança são acionadas, o malware entra em um loop infinito e fica “congelado”, mascarando sua verdadeira natureza.
Essa camuflagem explica, em parte, o alto número de downloads bem-sucedidos. Desenvolvedores menos experientes podem não perceber o comportamento anômalo durante testes superficiais.
Como se Proteger Desta Ameaça?
A prevenção é a arma mais eficaz contra este tipo de ataque. Siga estas recomendações para proteger suas contas:
- Verifique a Procedência dos Pacotes: Sempre baixe bibliotecas e APIs de fontes oficiais e verifique a reputação do mantenedor.
- Analise as Dependências: Utilize ferramentas de segurança que escaneiam as dependências do seu projeto em busca de pacotes maliciosos conhecidos.
- Revise Sessões Conectadas: Periodicamente, acesse WhatsApp > Configurações > Dispositivos Conectados e revogue qualquer sessão desconhecida.
- Mantenha-se Informado: Acompanhe alertas de segurança de fontes confiáveis para conhecer novas ameaças rapidamente.
- Desconfie de Funcionalidades Excessivas: Se um pacote promete funcionalidades fora do escopo comum de uma API, investigue minuciosamente.
Em conclusão, o caso do pacote de API falso “lotusbail” serve como um alerta contundente para a comunidade de desenvolvimento e para usuários finais. A sofisticação dos golpes exige vigilância constante. Portanto, adote sempre as melhores práticas de segurança digital e propague esse conhecimento. Dessa forma, você contribui para um ecossistema online mais seguro para todos.