Abans d’identificar-lo com a tal ja l’havien descarregat més de 56.000 desenvolupadors per fer-lo servir en els seus projectes.

S’ha detectat un paquet maliciós publicat al repositori npm  que roba credencials i converses de WhatsApp. La llibreria, anomenada lotusbail, comptava amb més de 56.000 descàrregues abans de ser identificada com una amenaça.

Npm és el repositori oficial de paquets de JavaScript i Node.js, on desenvolupadors de tot el món publiquen i comparteixen llibreries de codi que altres poden fer servir en els seus projectes. És un recurs molt útil perquè permet reutilitzar funcionalitats ja desenvolupades, però en ser obert i d’accés públic, també es pot convertir en un vector d’atacs si algun paquet conté codi maliciós.

A primera vista, lotusbail es presentava com una llibreria legítima per interactuar amb WhatsApp Web, i permetia enviar i rebre missatges des d’aplicacions externes. Tot i això, el paquet incloïa codi que interceptava informació delicada dels usuaris que la feien servir. 

Entre les dades compromeses hi havia credencials d’autenticació, missatges enviats i rebuts, llistes de contactes i fitxers compartits. A més, la llibreria establia una connexió persistent amb els servidors de l’atacant, cosa que permetia mantenir accés al compte fins i tot després d’eliminar el paquet del projecte.

Com ha passat desapercebuda?

El codi maliciós estava ofuscat i xifrat, cosa que en dificultava la detecció automàtica. Això, combinat amb la funcionalitat real que oferia la llibreria, va fer que molts desenvolupadors la integressin sense sospitar cap risc. 

El cas de lotusbail evidencia la vulnerabilitat dels ecosistemes de programari oberts com a npm, on les llibreries de tercers poden ser utilitzades massivament sense auditoria prèvia. A més, posa de manifest que no tota llibreria és segura, encara que provingui d’un dipòsit oficial. 

Abans d’instal·lar un paquet els experts recomanen verificar qui el manté (per veure el seu perfil o reputació), revisar el codi font (sobretot si hi ha dependències crítiques) i fer servir eines d’escaneig de dependències que poden identificar paquets maliciosos o sospitosos.