【安全资讯】恶意npm包伪装WhatsApp API窃取消息与账户

概要：

在软件供应链安全日益受到关注的今天，一个伪装成WhatsApp Web API库的恶意npm包“lotusbail”在六个月内被下载超过5.6万次。该包不仅具备真实功能以掩人耳目，更暗藏恶意代码，能够窃取用户的WhatsApp消息、凭证、联系人，并劫持其账户，凸显了开源生态中依赖包被投毒的严重风险。

主要内容：

根据Koi Security的研究，这个名为“lotusbail”的npm包基于合法的Baileys库构建，确实提供了发送和接收WhatsApp消息的功能。其危险性在于，它通过WebSocket与WhatsApp通信，这意味着所有经过该API包装器的通信，包括登录凭证和收发消息，都会被其截获。

该恶意软件的核心技术在于其多层数据窃取与加密机制。它会复制用户的WhatsApp认证令牌、所有消息、完整联系人列表和媒体文件。在将数据外传至攻击者控制的服务器前，它使用了自定义的RSA实现进行加密，并叠加了四层混淆：Unicode操作、LZString压缩、Base-91编码和AES加密。

更严重的是，该包会通过WhatsApp的设备配对流程，将攻击者的设备与受害者的账户进行绑定，实现后门植入。即使用户卸载了恶意npm包，攻击者的设备仍可能保持连接，持续访问其账户。

此事件是近期一系列npm供应链攻击的最新案例，紧随针对加密货币、凭证窃取的大规模恶意包活动之后。它再次警示，攻击者正积极利用开源生态的信任模型，将恶意代码注入广泛使用的依赖库中，对全球开发者与终端用户构成持续威胁。