Otkriven je zlonamjerni softver (malver) skriven u popularnom NPM paketu koji se predstavljao kao biblioteka za rad s WhatsApp Web API-jem, a koji je u pozadini krao račune, poruke i osjetljive podatke korisnika.
Riječ je o paketu pod nazivom "lotusbail", koji je bio dostupan u zvaničnom npm registru najmanje šest mjeseci i preuzet više od 56.000 puta prije nego što je uklonjen.
Kako navode stručnjaci iz kompanije Koi Security, paket je na prvi pogled funkcionisao legitimno, omogućavajući programerima komunikaciju s WhatsAppom. Međutim, istovremeno je tajno presretao i slao napadačima autentifikacijske tokene, ključeve za sesije, poruke, kontakte, kao i multimedijalne fajlove i dokumente.
Posebno zabrinjava činjenica da je zlonamjerni kod omogućavao napadačima da povežu sopstveni uređaj s kompromitovanim WhatsApp računom putem procesa uparivanja. Na taj način, napadači su mogli zadržati pristup računu čak i nakon uklanjanja paketa sa sistema, sve dok korisnik ručno ne ukloni nepoznati uređaj iz podešavanja WhatsApp aplikacije.
Istraživači ističu da je malver koristio napredne tehnike prikrivanja, uključujući obfuskaciju koda i enkripciju, kako bi izbjegao otkrivanje i analizu.
Stručnjaci savjetuju programerima da odmah uklone paket "lotusbail" iz svojih projekata, provjere listu povezanih uređaja na WhatsApp računima i budu oprezniji prilikom korištenja novih biblioteka iz javnih repozitorija.