Через популярный инструмент для WhatsApp незаметно взламывали аккаунты десятки тысяч раз
Исследователи кибербезопасности обнаружили вредоносный пакет lotusbail, который маскируется под легитимную библиотеку для работы с WhatsApp*. Пакет, скачанный более 56 000 раз, незаметно похищал учетные данные, всю переписку и даже предоставлял злоумышленникам постоянный доступ к аккаунту жертвы.
Пакет lotusbail был опубликован в мае 2025 года и за полгода набрал десятки тысяч загрузок. Его ключевая особенность — он действительно работает как заявленный API для взаимодействия с WhatsApp Web через WebSocket, будучи форком популярной библиотеки @whiskeysockets/baileys, однако внутри функционального кода скрывается вредоносная обертка, которая перехватывает все операции.
Для скрытой передачи данных используется многослойная система шифрования. Самой опасной частью атаки является создание незаметного бэкдора, который сохраняет доступ к аккаунту даже после удаления пакета. Пакет использует механизм WhatsApp по связыванию устройств, подставляя в процесс аутентификации жестко запрограммированный 8-значный код сопряжения. Когда разработчик подключает свое приложение к WhatsApp через lotusbail, устройство злоумышленника автоматически и незаметно привязывается к аккаунту жертвы как доверенное.
В результате злоумышленник получает постоянный доступ для чтения всей новой переписки, отправки сообщений от имени жертвы и сбора данных. Эта связь сохраняется, пока пользователь вручную не отключит все устройства в настройках WhatsApp.
Этот случай иллюстрирует растущую изощренность атак на цепочки поставок программного обеспечения, когда угроза скрывается не в сломанном, а в полностью рабочем коде, что обходит традиционные системы безопасности.
*Принадлежит компании Meta, запрещенной в России
