Supply Chain Attack no npm: pacote lotusbail compromete integrações WhatsApp

No final de dezembro de 2025 foi identificada uma vulnerabilidade crítica envolvendo o pacote lotusbail no npm. A descoberta foi feita pela Koi Security e rapidamente confirmada por múltiplas fontes especializadas em segurança.

O pacote se apresenta como uma biblioteca para integração de bots e aplicações Node.js com WhatsApp, sendo um fork funcional do legítimo @whiskeysockets/baileys. Por funcionar normalmente, acabou sendo adotado por milhares de desenvolvedores.

O que o pacote fazia de fato

• Interceptava credenciais de autenticação
• Capturava mensagens enviadas e recebidas
• Exfiltrava contatos, fotos, vídeos e outros arquivos
• Vinculava silenciosamente um dispositivo controlado pelo atacante à conta do WhatsApp

O ponto mais crítico é o uso de um código de pareamento fixo, que permite ao atacante manter acesso persistente mesmo após a remoção do pacote.

Impacto

O pacote lotusbail ultrapassou 56 mil downloads no npm, afetando milhares de projetos. Trata-se de um ataque clássico de supply chain no ecossistema JavaScript.

O que fazer agora

1. Verifique se o pacote está no projeto:

   npm ls lotusbail

2. Se estiver presente:
   • Remova a dependência imediatamente
   • Atualize package.json e package-lock.json
   • Execute um install limpo
3. No celular:
   • Abra o WhatsApp
   • Vá em Configurações → Dispositivos vinculados
   • Remova qualquer dispositivo desconhecido
4. Escaneie dependências e trate como incidente de segurança

Boas práticas

• Use apenas bibliotecas oficiais ou amplamente auditadas
• Desconfie de forks pouco conhecidos
• Automatize verificação de dependências no CI/CD
• Considere integrações WhatsApp como superfície sensível

Segurança não falha por um bug isolado, falha por confiança excessiva na cadeia.