npm 上的虚假 WhatsApp API 包可窃取消息、联系人和登录令牌

网络安全研究人员披露了 npm 存储库中一个新恶意软件的详细信息，该软件可以作为功能齐全的 WhatsApp API 运行，但同时也具备拦截每条消息并将攻击者的设备与受害者的 WhatsApp 帐户关联起来的能力。

名为“ lotusbail ”的软件包自2025年5月由用户“seiren_primrose”首次上传至注册表以来，已被下载超过56,000次。其中，过去一周内下载量达711次。截至撰写本文时，该软件包仍可供下载。

Koi Security 研究员 Tuval Admoni 在周末发布的一份报告中表示，该恶意软件伪装成一个功能齐全的工具，会“窃取您的 WhatsApp 凭据，拦截每条消息，收集您的联系人，安装一个持久后门，并在将所有内容发送到威胁行为者的服务器之前对其进行加密” 。

具体来说，它能够捕获身份验证令牌和会话密钥、消息历史记录、包含电话号码的联系人列表，以及媒体文件和文档。更重要的是，该库的设计灵感来源于@whiskeysockets/baileys，这是一个基于 WebSocket 的 TypeScript 库，用于与 WhatsApp Web API 进行交互。

这是通过恶意 WebSocket 封装器实现的，该封装器会路由身份验证信息和消息，从而捕获凭据和聊天记录。窃取的数据以加密形式传输到攻击者控制的 URL。

攻击并未就此结束，因为该软件包还包含隐蔽功能，可通过使用硬编码的配对码劫持设备连接过程，从而创建对受害者 WhatsApp 帐户的持久访问权限。

“当你使用这个库进行身份验证时，你不仅关联了自己的应用程序，还关联了攻击者的设备，”Admoni说道。“他们可以完全、持续地访问你的WhatsApp帐户，而你却毫不知情。”

通过将他们的设备与目标用户的 WhatsApp 连接起来，不仅可以继续访问他们的联系人和对话，而且即使在从系统中卸载该软件包后，也可以保持持续访问，因为威胁行为者的设备会一直与 WhatsApp 帐户保持连接，直到通过导航到应用程序的设置来取消连接。

Koi Security 的 Idan Dardikman 告诉 The Hacker News，当开发者使用该库连接到 WhatsApp 时，就会触发恶意活动。

“恶意软件会封装 WebSocket 客户端，因此一旦你通过身份验证并开始收发消息，拦截就会启动，”达迪克曼说。“除了正常使用 API 之外，无需任何特殊操作。后门配对码也会在身份验证过程中激活——因此，当你将应用连接到 WhatsApp 时，攻击者的设备就会立即被关联。”

此外，“lotusbail”还配备了反调试功能，当检测到调试工具时，它会进入无限循环陷阱，导致程序停止执行。

“供应链攻击不仅没有减少，反而变得更加猖獗，”Koi说道。“传统的安全措施无法检测到这类攻击。静态分析能够识别出运行正常的WhatsApp代码，并予以认可。信誉系统也检测到了5.6万次下载，并对其表示信任。恶意软件就隐藏在‘这段代码可以运行’和‘这段代码的功能与它所宣称的完全一致’之间的灰色地带。”

恶意 NuGet 包瞄准加密生态系统#

此次披露正值 ReversingLabs分享了14 个恶意 NuGet 包的详细信息之际，这些包冒充 Nethereum（一个用于以太坊去中心化区块链的 .NET 集成库）和其他加密货币相关工具，当转账金额超过 100 美元时，这些包会将交易资金重定向到攻击者控制的钱包，或者窃取私钥和助记词。

以下列出了从八个不同账户发布的软件包名称 -

• binance.csharp
• 比特币核心
• bybitapi.net
• coinbase.net.api
• googleads.api
• nbitcoin.unified
• nethereumnet
• 净
• 下界。所有
• 太阳网
• solnetall
• solnetall.net
• solnetplus
• solnetunified

这些软件包利用多种手段使用户对其安全性产生虚假的信任感，包括虚增下载量，并在短时间内发布数十个新版本，以营造其正在积极维护的假象。该攻击活动最早可追溯至2025年7月。

恶意功能被注入到特定环境中，仅在开发者安装软件包并将特定功能嵌入其他应用程序时才会触发。值得注意的是，GoogleAds.API 软件包专注于窃取 Google Ads OAuth 信息，而非窃取钱包数据密钥。

“这些数值非常敏感，因为它们允许对 Google Ads 帐户进行完全的程序化访问，如果泄露，攻击者可以冒充受害者的广告客户，读取所有广告系列和效果数据，创建或修改广告，甚至可以在恶意或欺诈性广告系列上花费无限的资金，”ReversingLabs 表示。