Découverte du package npm Lotusbail, qui collecte les messages et les contacts WhatsApp

 (koi.ai)
1 points par GN⁺ 2025-12-24 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Le package Lotusbail est un fork de la bibliothèque WhatsApp Web API légitime Baileys et constitue un package contenant du code malveillant qui a été téléchargé plus de 56 000 fois sur npm en six mois
  • Tout en fournissant des fonctions API qui marchent normalement, il vole les identifiants WhatsApp, les messages, les contacts et les fichiers médias puis les envoie vers le serveur des attaquants
  • Les données sont transmises après plusieurs couches de chiffrement et d’obfuscation, notamment RSA, AES, Base-91 et LZString, ce qui permet d’échapper à la surveillance de sécurité
  • Le package installe une porte dérobée qui relie de façon permanente l’appareil de l’attaquant au compte WhatsApp de l’utilisateur via un code d’appairage codé en dur
  • Ce cas montre la sophistication croissante des attaques de la chaîne d’approvisionnement et souligne la nécessité d’une surveillance de sécurité fondée sur le comportement, impossible à remplacer par la seule analyse statique

Vue d’ensemble du package Lotusbail

  • lotusbail est un fork du package légitime @whiskeysockets/baileys et fournit à l’identique les fonctions de WhatsApp Web API
    • L’envoi et la réception de messages fonctionnent normalement, ce qui augmente la probabilité que des développeurs l’installent sans soupçon
    • Il est resté publié sur npm pendant six mois et, au moment de la rédaction, il était toujours téléchargeable
  • Derrière ces fonctions réelles se cachent des comportements malveillants comme le vol d’identifiants WhatsApp, l’interception de messages, la collecte de contacts et l’installation d’une porte dérobée

Informations dérobées

  • Cela inclut les jetons d’authentification et clés de session, l’historique complet des messages, la liste de contacts avec numéros de téléphone, les fichiers médias et documents, ainsi qu’un accès persistant via porte dérobée
  • Toutes les données sont chiffrées avant d’être envoyées au serveur des attaquants

Mode de fonctionnement

Une fonction de camouflage qui marche réellement

  • La plupart des packages npm malveillants sont faciles à repérer parce qu’ils dysfonctionnent ou contiennent du code suspect, mais Lotusbail se déguise en API fonctionnelle
  • Il repose sur la bibliothèque Baileys légitime et implémente complètement les fonctions d’envoi et de réception de messages
  • Cela relève d’une technique d’ingénierie sociale qui amène les développeurs à ne pas soupçonner d’activité malveillante dans un « code qui fonctionne normalement »

Vol et transmission des données

  • Le package fonctionne comme une enveloppe autour du client WebSocket qui communique avec WhatsApp
    • Lors de l’authentification, il capture les identifiants, et lors de la réception comme de l’envoi de messages, il duplique l’intégralité du contenu
    • Les fonctions normales restent intactes, mais toutes les données sont simplement transmises en double aux attaquants
  • Les données volées sont chiffrées avant transmission au moyen d’une implémentation RSA personnalisée
    • Elle existe séparément du chiffrement de bout en bout de WhatsApp et sert de chiffrement destiné à contourner la surveillance réseau
  • L’adresse du serveur n’apparaît pas directement dans le code, mais est cachée dans une chaîne de configuration chiffrée
    • Une obfuscation en quatre étapes est appliquée : manipulation de variables Unicode, compression LZString, encodage Base-91 et chiffrement AES

Installation de la porte dérobée

  • Le package abuse de la fonction de code d’appairage d’appareil de WhatsApp pour connecter l’appareil de l’attaquant au compte de l’utilisateur
    • Il contient un code d’appairage codé en dur chiffré avec AES
    • Quand l’utilisateur s’authentifie, l’appareil de l’attaquant est aussi connecté simultanément, ce qui lui donne un accès persistant au compte
  • L’attaquant peut alors contrôler l’ensemble du compte : lecture et envoi de messages, téléchargement de médias, accès aux contacts, etc.
  • Même si le package npm est supprimé, l’appareil de l’attaquant reste connecté ; pour le bloquer, il faut déconnecter manuellement tous les appareils dans les paramètres de WhatsApp

Techniques d’évasion de l’analyse

  • Le code contient 27 pièges en boucle infinie qui interrompent l’exécution lorsqu’un outil de débogage est détecté
    • Il détecte le débogueur, les arguments de processus, les environnements sandbox, etc., afin de gêner l’analyse dynamique
    • Des commentaires sont présents dans les sections malveillantes du code, signe de traces d’une gestion de développement structurée

Conclusion et implications de sécurité

  • La sophistication des attaques de la chaîne d’approvisionnement progresse, avec une hausse des cas déguisés en code fonctionnel
  • La détection est difficile avec la seule analyse statique et la validation fondée sur la réputation ; une analyse comportementale à l’exécution (behavioral analysis) est nécessaire
  • Le cas Lotusbail exploite une faille de sécurité fondée sur l’idée que « si le code fonctionne, alors il est sûr », et montre l’importance de mettre en place des systèmes de surveillance du comportement à l’exécution
  • L’équipe de recherche de Koi Security a identifié ce type de menace, capable de contourner les procédures de vérification existantes, grâce à ces techniques de détection fondées sur l’exécution

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.