WhatsApp: L'Attacco Invisibile che Mantiene le Tue Chat nelle Mani degli Hacker, Anche Dopo Aver Cancellato l'App!

Un insidioso pacchetto npm, battezzato "lotusbail", ha compromesso oltre 56.000 installazioni, sottraendo dati sensibili e creando "backdoor" persistenti negli account WhatsApp di sviluppatori e aziende.

Il 22 dicembre 2025, i ricercatori di Koi Security hanno identificato lotusbail, un pacchetto malevolo annidato nel registro npm che, camuffato da una legittima libreria API per WhatsApp Web, ha sottratto messaggi, contatti e credenziali a decine di migliaia di utenti. Si stima che almeno 56.000 vittime lo abbiano scaricato e installato.

La reale pericolosità di lotusbail risiede nella sua raffinata operatività. A differenza di molti malware di scarsa qualità, questo pacchetto funziona effettivamente come una libreria API per WhatsApp, essendo un "fork" del progetto Baileys. Questa sua "funzionalità reale" ha agito come un perfetto cavallo di Troia, inducendo oltre 56.000 sviluppatori a integrare inconsapevolmente questa minaccia nei loro processi lavorativi aziendali.

Come Funziona il Malware: Tecnicamente, lotusbail intercetta ogni comunicazione che transita attraverso il "socket wrapper". Gestendo attivamente l'invio e la ricezione dei messaggi, il malware ottiene accesso completo a token di autenticazione, file multimediali e intere liste di contatti. I dati rubati vengono sottoposti a un sofisticato processo di esfiltrazione, protetto da quattro strati di offuscamento e crittografia RSA e AES, come riportato anche da The Register, rendendo il traffico anomalo quasi impercettibile ai sistemi di monitoraggio standard.

Backdoor Persistenti: La Minaccia Che Sopravvive alla Pulizia L'aspetto più allarmante, tuttavia, riguarda la persistenza di questa minaccia. Sfruttando il processo di accoppiamento dei dispositivi di WhatsApp, l'attaccante riesce a collegare segretamente il proprio hardware all'account della vittima. Ciò significa che la minaccia non scompare semplicemente rimuovendo il pacchetto npm malevolo o spegnendo il server che ospita la libreria.

Finché l'utente non scollega manualmente il "dispositivo fantasma" dalle impostazioni di sicurezza del proprio smartphone, la porta verso i dati rimane spalancata. Questa è una lezione durissima sul concetto di fiducia nell'open source: la comodità di una libreria pronta all'uso non può mai giustificare la rinuncia a una rigorosa validazione del codice, specialmente quando si gestiscono segreti industriali o comunicazioni aziendali sensibili.

Resta da chiedersi quanta parte della nostra infrastruttura digitale si basi su fondamenta altrettanto fragili. Se l'efficacia immediata del codice diventa l'unico parametro di scelta, ignorando l'integrità della sorgente, siamo destinati a inseguire un'emergenza permanente. Quante altre "librerie funzionanti" stanno attualmente duplicando i nostri segreti in attesa di essere scoperte?