Uma nova ameaça digital está a colocar em risco a privacidade de milhares de utilizadores e programadores. Foi recentemente descoberta uma biblioteca maliciosa no NPM (Node Package Manager), o gestor de pacotes padrão para ambientes Node.js, que se faz passar por uma ferramenta legítima para roubar informações sensíveis. Com mais de 56 mil descargas registadas nos últimos seis meses, este malware demonstra um nível de sofisticação preocupante.
O pacote, identificado como "lotusbail", apresenta-se como uma variante funcional do popular projeto "WhiskeySockets Baileys". Esta biblioteca legítima é amplamente utilizada pela comunidade de desenvolvimento para facilitar a comunicação com a API do WhatsApp Web através de WebSockets. No entanto, a versão fraudulenta esconde um propósito muito mais obscuro sob a sua fachada de utilidade.
Armadilhas anti-análise e roubo de sessões
De acordo com a investigação da Koi Security, o "lotusbail" não se limita a copiar o código original. Embora mantenha as funcionalidades esperadas da biblioteca, o que ajuda a evitar suspeitas iniciais, o código malicioso interceta silenciosamente todas as comunicações. Isto permite aos atacantes recolherem mensagens enviadas e recebidas, bem como capturar tokens de autenticação e chaves de sessão vitais.
O que torna esta ameaça particularmente insidiosa é a sua capacidade de resistência à análise. Os dados roubados são encriptados antes de serem exfiltrados, e o código inclui 27 armadilhas de "loop infinito". Estas armadilhas são ativadas especificamente quando alguém tenta utilizar ferramentas de depuração (debugging) para analisar o comportamento do software, bloqueando o processo e dificultando o trabalho dos investigadores de segurança.
O perigo da persistência e como verificar a conta
O aspeto mais perigoso deste ataque reside na sua persistência. Durante o processo de autenticação, o script malicioso aproveita para vincular um dispositivo controlado pelos atacantes à conta da vítima. Isto significa que, mesmo que o programador remova o pacote infetado do seu projeto, o hacker mantém o acesso à conta do utilizador final.
Com este acesso, terceiros podem ler o histórico de conversas, enviar novas mensagens e aceder a contactos e ficheiros multimédia como se fossem o titular da conta. Este cenário serve como um alerta severo para a comunidade de desenvolvimento sobre os riscos de confiar cegamente em pacotes de código aberto, mesmo quando parecem funcionais.
Para os utilizadores comuns, a defesa passa pela vigilância ativa. É recomendável verificar regularmente a lista de dispositivos associados na aplicação. Para isso, basta aceder às definições, selecionar "Dispositivos associados" e analisar as sessões ativas. Se encontrar algum dispositivo desconhecido ou com uma localização e plataforma suspeitas, deve terminar essa sessão imediatamente para cortar o acesso não autorizado.
Nenhum comentário
Seja o primeiro!