lotusbail NPM paketi, kendini yasal bir WhatsApp Web API kütüphanesi olarak gösteren, @whiskeysockets/baileys paketinin kötü niyetli bir çatalı olarak ortaya çıktı. 56.000'den fazla indirmeye sahip olan ve reklamını yaptığı gibi çalışan bu paket, geliştiricilerin şüphelenmeden kurduğu türden bir bağımlılıktı. Altı ay boyunca npm üzerinde aktif kalan bu paket, kullanıcıların WhatsApp kimlik bilgilerini çalmak, her mesajı ele geçirmek, kişilerini toplamak ve kalıcı bir arka kapı kurmak gibi sofistike kötü amaçlı yazılım işlevleri içeriyordu.
Çalınan veriler arasında kimlik doğrulama belirteçleri, oturum anahtarları, geçmiş ve güncel mesaj geçmişinin tamamı, telefon numaralarıyla birlikte tüm kişi listeleri ve medya dosyaları bulunuyordu. Kötü amaçlı yazılım, WhatsApp ile iletişim kuran meşru WebSocket istemcisini sararak çalışıyordu. Uygulamanızdan geçen her mesaj önce kötü amaçlı yazılımın soket sarmalayıcısından geçiyordu. Kimlik doğrulama sırasında kimlik bilgileri, mesajlar geldiğinde ise içerikler ele geçiriliyordu. Bu sayede meşru işlevsellik normal şekilde çalışmaya devam ederken, kötü amaçlı yazılım her şey için ikinci bir alıcı ekliyordu.
Çalınan veriler düz metin olarak gönderilmiyordu; kötü amaçlı yazılım, verileri iletimden önce şifrelemek için özel bir RSA uygulaması içeriyordu. Bu özel şifreleme, ağ izlemesi tarafından yakalanmamak için tasarlanmıştı. Veri sızdırma sunucusunun URL'si ise Unicode değişken manipülasyonu, LZString sıkıştırma, Base-91 kodlaması ve AES şifrelemesi gibi dört katmanlı gizleme teknikleriyle gizlenmişti. Ayrıca, WhatsApp'ın yeni cihazları hesaplara bağlamak için kullandığı eşleştirme kodlarını manipüle ederek kalıcı bir arka kapı erişimi de sağlıyordu.
Geliştiricilerin işlevsel görünen ancak arka planda kötü niyetli faaliyetler yürüten yazılımlara karşı dikkatli olmaları gerektiğini gösteren önemli bir siber güvenlik olayıdır.