Un pacchetto npm apparentemente innocuo ha operato indisturbato per sei mesi, scaricato più di 56.000 volte da sviluppatori ignari di installare un sofisticato strumento di spionaggio digitale. Il malware, mascherato da libreria funzionante per l'API di WhatsApp Web, rappresenta una minaccia particolarmente insidiosa proprio perché il codice funziona esattamente come promesso. La sua pericolosità risiede nel fatto che mentre gli sviluppatori lo utilizzano per integrare WhatsApp nelle loro applicazioni, il pacchetto sta silenziosamente raccogliendo ogni singolo dato che transita attraverso di esso.
Un trojan che mantiene le promesse
Il pacchetto lotusbail si distingue dalla maggior parte del malware perché offre realmente le funzionalità pubblicizzate. Come ha spiegato Tuval Admoni, ricercatore di Koi Security che ha scoperto la minaccia, si tratta di una vera e propria API WhatsApp basata sulla legittima libreria Baileys. Gli sviluppatori che l'hanno installato hanno effettivamente potuto inviare e ricevere messaggi WhatsApp attraverso le loro applicazioni, senza sospettare minimamente di essere vittima di un attacco informatico.
La tecnica è particolarmente subdola: il pacchetto dannoso è un fork del legittimo @whiskeysockets/baileys, modificato per includere funzionalità malevole nascoste. Sfrutta la comunicazione WebSocket con WhatsApp per posizionarsi strategicamente come intermediario tra l'utente e il servizio di messaggistica.
L'architettura dell'inganno
Ogni comunicazione WhatsApp passa attraverso un wrapper del socket appositamente progettato, permettendo al malware di catturare le credenziali di accesso e intercettare tutti i messaggi in entrata e uscita. Token di autenticazione, liste di contatti complete, file multimediali: qualsiasi dato che transita attraverso l'API viene duplicato e preparato per l'esfiltrazione verso server controllati dagli attaccanti.
La sofisticazione tecnica del pacchetto è notevole. I dati rubati vengono cifrati utilizzando un'implementazione RSA personalizzata, poi sottoposti a quattro livelli di offuscamento: manipolazione Unicode, compressione LZString, codifica Base-91 e crittografia AES. Questo rende estremamente difficile rilevare il trasferimento di informazioni sensibili verso l'esterno.
Una backdoor permanente nell'account
L'aspetto più preoccupante riguarda la persistenza dell'attacco. Il malware sfrutta il processo di abbinamento dispositivi di WhatsApp per collegare il dispositivo dell'attaccante all'account della vittima. Questo significa che anche dopo aver disinstallato il pacchetto npm malevolo, il dispositivo del cybercriminale rimane connesso all'account WhatsApp dell'utente inconsapevole, garantendo accesso continuativo alle conversazioni.
Un problema sistemico per la supply chain
Questo incidente si inserisce in un contesto più ampio di crescenti minacce alla supply chain del software. Nelle ultime settimane si sono registrati numerosi casi di librerie npm compromesse, progettate per rubare criptovalute, credenziali e altri segreti. Particolarmente allarmante è stata la campagna di token farming che ha portato all'inserimento di oltre 150.000 pacchetti malevoli nel registro npm.
Tim Lewis, co-fondatore e CEO di Tea, ha recentemente commentato questi eventi con The Register, dopo che la sua azienda è stata costretta a chiudere il programma di incentivi e riprogettare il protocollo proprio a causa di una massiccia campagna di farming. Lewis ha descritto la situazione come "un canarino nella miniera di carbone", sottolineando come organizzazioni malintenzionate possano facilmente sfruttare le stesse tecniche per attacchi mirati alle supply chain.
Lezioni per la sicurezza del software
Il caso lotusbail evidenzia una vulnerabilità fondamentale nell'ecosistema dello sviluppo software moderno. La fiducia riposta nei pacchetti di terze parti, unita alla difficoltà di verificare approfonditamente il codice di ogni dipendenza, crea opportunità significative per gli attaccanti. La capacità del malware di funzionare correttamente mentre esfiltra dati rappresenta un'evoluzione preoccupante, rendendo praticamente impossibile il rilevamento basato su malfunzionamenti o comportamenti anomali dell'applicazione.
Gli esperti di sicurezza raccomandano agli sviluppatori di verificare attentamente l'autenticità dei pacchetti prima dell'installazione, controllare la reputazione dei maintainer e monitorare eventuali dispositivi sconosciuti collegati ai propri account WhatsApp attraverso le impostazioni dell'applicazione.