Votre application utilise une API WhatsApp ? Vous pourriez être espionné sans le savoir

Génération NT / Actualités / Votre application utilise une API WhatsApp ? Vous pourriez être espionné sans le savoir

Publié le 23 décembre 2025 à 15:30 par Jérôme G.

Un paquet npm malveillant dissimule un malware capable de voler des comptes et des messages WhatsApp. Il installe une backdoor persistante pour donner aux attaquants un accès total.

Au nom de " lotusbail ", un paquet malveillant hébergé sur le registre npm a été identifié par les chercheurs en cybersécurité de Koi Security. Il se présente comme une alternative fonctionnelle à une bibliothèque populaire pour l'API WhatsApp Web.

Avec plus de 56 000 téléchargements en six mois, ce paquet a réussi à tromper la vigilance de développeurs en offrant un outil qui fonctionne réellement, tout en dérobant discrètement des données sensibles.

Comment ce malware parvient-il à voler les données sans être détecté ?

Le paquet " lotusbail " comprend le client WebSocket légitime qui communique avec WhatsApp. Ainsi, chaque message, chaque authentification, chaque fichier transite d'abord par le code malveillant. Les chercheurs expliquent que " lorsque vous vous authentifiez, le wrapper capture vos identifiants. Quand des messages arrivent, il les intercepte. "

Toutes les informations capturées, des tokens de session aux listes de contacts complètes, sont ensuite chiffrées à l'aide d'une implémentation RSA personnalisée et de multiples couches d'obfuscation, avant d'être envoyées vers un serveur contrôlé par les attaquants.

Qu'est-ce qui rend cette attaque dangereuse ?

Au-delà du vol de données, le danger de " lotusbail " est l'installation d'une backdoor. Le malware détourne le processus d'association d'appareils de WhatsApp en utilisant un code d'appairage codé en dur. Lorsqu'un développeur utilise la bibliothèque pour connecter son application, il lie sans le savoir l'appareil de l'attaquant à son compte WhatsApp.

Cette association persiste même après la désinstallation du paquet npm. L'attaquant conserve un accès complet et durable au compte, pouvant lire les messages, en envoyer et accéder aux contacts, jusqu'à ce que la victime déconnecte manuellement tous les appareils inconnus depuis les paramètres de son application WhatsApp.

Comment se protéger ?

Pour les développeurs ayant utilisé ce paquet, la première étape est de le supprimer immédiatement et de vérifier la liste des appareils connectés à leur compte WhatsApp pour y révoquer tout accès suspect.

Pour Koi Security, cet incident met en lumière les limites des méthodes de sécurité traditionnelles. " L'analyse statique voit un code WhatsApp fonctionnel et l'approuve. Les systèmes de réputation voient 56 000 téléchargements et lui font confiance. "

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire