文章总结： 恶意npm包lotusbail伪装成合法WhatsApp库窃取账户与消息，下载量超5.6万次。该包利用WebSocket包装器拦截通信及凭据，经RSA与多层混淆加密外泄，还能将攻击者设备与受害者账户配对，并利用无限循环阻碍分析。建议开发者移除该包并检查账户关联设备，重视运行时行为监控而非仅审查源码。 综合评分： 88 文章分类： 供应链安全,恶意软件,数据泄露

恶意 npm 包窃取 WhatsApp 帐户和消息

Rhinoer

犀牛安全

2026年1月7日 00:00 北京

Node 包管理器 (NPM) 注册表中的一个恶意软件包伪装成合法的 WhatsApp Web API 库，用于窃取 WhatsApp 消息、收集联系人并获取帐户访问权限。

该恶意软件包是热门项目 WhiskeySockets Baileys 的一个分支，它提供了与 WhiskeySockets Baileys 相同的合法功能。该恶意软件包以lotusbail 的名称发布在 npm 上 至少已有六个月，累计下载量超过 56,000 次。

供应链安全公司 Koi Security 的研究人员发现了这个恶意软件包，并发现它可以窃取 WhatsApp 身份验证令牌和会话密钥，拦截和记录所有已发送和已接收的消息，并窃取联系人列表、媒体文件和文档。

研究人员解释说：“该软件包封装了与 WhatsApp 通信的合法 WebSocket 客户端。流经您应用程序的每条消息都会先经过恶意软件的套接字包装器。 ”

当你进行身份验证时，该封装程序会捕获你的凭据。当消息到达时，它会拦截它们。当你发送消息时，它会记录它们。

捕获的信息在泄露之前会使用自定义 RSA 实现和多层混淆（例如 Unicode 技巧、LZString 压缩和 AES 加密）进行加密。

除了数据窃取活动外，该恶意软件包还包含通过设备配对过程将攻击者的设备与受害者的 WhatsApp 帐户连接起来的代码。

即使恶意 NPM 包已被移除，攻击者仍能持续访问该帐户。只有当受害者手动从 WhatsApp 设置中移除关联的设备后，访问权限才会解除。

Koi Security 报告称，lotusbail使用 27 个无限循环陷阱来增加调试和分析的难度，这很可能是它能够长期未被发现的原因。

建议使用该软件包的开发者将其从系统中移除，并检查其 WhatsApp 帐户是否存在非法关联的设备。

Koi Security 强调，仅仅查看源代码来查找恶意代码行是不够的；开发人员应该监控运行时行为，以发现意外的出站连接或在身份验证流程中使用新依赖项时的活动，从而验证其安全性。

信息来源 ：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer《恶意 npm 包窃取 WhatsApp 帐户和消息》