Netcrook Logo
👤 LOGICFALCON
🗓️ 26 Dec 2025  

Come una Falsa Libreria WhatsApp ha Ingannato Migliaia di Persone: Dentro lo Scandalo del Trojan lotusbail

Sottotitolo: Un popolare pacchetto NPM ha segretamente dirottato account WhatsApp e sottratto chat private, eludendo la rilevazione per mesi.

Quando lo sviluppatore Samuel M. ha effettuato l’accesso al suo pannello di controllo integrato con WhatsApp la scorsa settimana, non aveva idea che ogni messaggio, foto e contatto nel suo account fosse già stato silenziosamente copiato e inviato a un attaccante sconosciuto. Il colpevole? Non un link di phishing o un’app dannosa, ma una libreria di codice apparentemente affidabile - lotusbail - scaricata da oltre 56.000 sviluppatori ignari dal repository di pacchetti NPM.

Il Trojan Nascosto in Bella Vista

Ricercatori di sicurezza informatica di Koi Security hanno recentemente scoperto un inganno sofisticato: lotusbail, un pacchetto JavaScript ampiamente utilizzato, non era solo una scorciatoia per lo sviluppo - era un cavallo di Troia. Il pacchetto si spacciava per uno strumento legittimo per collegare app a WhatsApp, imitando da vicino la popolare libreria @whiskeysockets/baileys. Per sei mesi ha operato inosservato, integrandosi nelle app e raccogliendo silenziosamente enormi quantità di dati sensibili degli utenti.

Secondo il ricercatore capo Tuval Admoni, il malware funzionava come un’intercettazione in tempo reale. Avvolgendo il canale di comunicazione WebSocket, lotusbail poteva duplicare segretamente ogni messaggio, contatto e documento inviato tramite WhatsApp. Ancora più allarmante, intercettava i token di autenticazione - le chiavi digitali che permettono agli attaccanti di accedere agli account senza bisogno di password.

Tattiche di Invisibilità e Accesso Permanente

I creatori di lotusbail non si sono fermati al furto di dati. Hanno implementato una crittografia RSA personalizzata per offuscare le informazioni sottratte prima che lasciassero il computer della vittima, rendendole quasi invisibili agli strumenti di sicurezza standard. Per ostacolare i reverse engineer, il codice era disseminato di 27 “trappole” - cicli infiniti che bloccavano qualsiasi tentativo di analisi sul nascere.

Ma forse la caratteristica più inquietante era la backdoor integrata nel processo di configurazione. Quando uno sviluppatore utilizzava lotusbail per collegarsi a WhatsApp, il malware dirottava la procedura di abbinamento dei dispositivi, collegando segretamente il dispositivo dell’attaccante all’account della vittima. Questa connessione persisteva anche se il codice malevolo veniva successivamente eliminato, garantendo agli attaccanti un accesso continuo e invisibile a conversazioni e file privati di WhatsApp.

Un Campanello d’Allarme per gli Sviluppatori

Gli esperti di sicurezza avvertono che questa violazione non è un caso isolato. “Le backdoor non capitano solo agli altri,” ha dichiarato James Wickett, CEO di DryRun Security. “Succedono all’interno di organizzazioni reali, spesso tramite codice che a prima vista sembra legittimo.”

L’episodio lotusbail è un chiaro promemoria: il fatto che un codice “funzioni” non significa che sia sicuro. Sviluppatori e team di sicurezza devono esaminare attentamente ogni dipendenza - specialmente quelle che gestiscono dati sensibili - e restare vigili contro minacce abilmente camuffate che si nascondono in piena vista.

Dopo lo Scandalo: Sfrattare gli Intrusi

Per chi è stato colpito, rimuovere il pacchetto lotusbail non basta. Le vittime devono controllare manualmente i “Dispositivi Collegati” di WhatsApp e revocare ogni sessione sospetta per cacciare davvero gli attaccanti. Man mano che le catene di fornitura software diventano più complesse, questo incidente serve da monito: la fiducia si guadagna, non si presume, e la vigilanza è l’unica vera difesa.

WIKICROOK

  • Pacchetto NPM: Un pacchetto NPM è un insieme riutilizzabile di codice JavaScript condiviso tramite il Node Package Manager, che consente una facile condivisione del codice e il potenziamento dei progetti.
  • Cavallo di Troia: Un Cavallo di Troia è un software dannoso camuffato da innocuo, che permette agli attaccanti di accedere a computer o reti e potenzialmente rubare dati o causare danni.
  • WebSocket: WebSocket è un protocollo che mantiene un canale aperto tra il browser e un server, consentendo uno scambio di messaggi bidirezionale in tempo reale.
  • Crittografia RSA: La crittografia RSA è un metodo di sicurezza che utilizza numeri molto grandi e due chiavi per mantenere i dati al sicuro, rendendo quasi impossibile l’accesso non autorizzato.
  • Token di autenticazione: Un token di autenticazione è una chiave digitale che verifica la tua identità per app o servizi, consentendo un accesso sicuro senza dover reinserire la password.
lotusbail Trojan horse data theft
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news