Il 22 dicembre 2025, i ricercatori di Koi Security hanno individuato lotusbail, un pacchetto malevolo annidato nel registro npm che, sotto le spoglie di una libreria API per WhatsApp Web, ha sottratto messaggi, contatti e credenziali a decine di migliaia di utenti. Sono almeno 56.000 le vittime che lo hanno scaricato e installato.
La pericolosità di lotusbail risiede nella sua efficacia operativa. A differenza di molti malware grossolani, questo pacchetto funziona davvero come una libreria API per WhatsApp, essendo un fork del progetto Baileys. Questa "realtà funzionale" ha agito come un cavallo di Troia perfetto, convincendo oltre 56.000 sviluppatori a integrare il veleno nei propri flussi di lavoro aziendali.
Tecnicamente, il malware opera intercettando ogni comunicazione che passa attraverso il socket wrapper. Poiché gestisce attivamente l'invio e la ricezione dei messaggi, lotusbail ha accesso totale a token di autenticazione, file multimediali e intere liste contatti. I dati rubati subiscono un processo di esfiltrazione sofisticato, protetto da quattro strati di offuscamento e crittografia RSA e AES, come riportato anche da The Register, rendendo il traffico anomalo quasi invisibile ai sistemi di monitoraggio standard.
Backdoor persistenti: la minaccia che sopravvive alla pulizia
L'aspetto più inquietante riguarda però la persistenza. Sfruttando il processo di accoppiamento dei dispositivi di WhatsApp, l'attaccante riesce a collegare segretamente il proprio hardware all'account della vittima. Questo significa che la minaccia non svanisce semplicemente rimuovendo il pacchetto npm malevolo o spegnendo il server su cui è ospitata la libreria.
Finché l'utente non scollega manualmente il "dispositivo fantasma" dalle impostazioni di sicurezza dello smartphone, la porta verso i dati rimane spalancata. È una lezione durissima sul concetto di fiducia nell'open source: la comodità di una libreria pronta all'uso non può mai giustificare la rinuncia a una validazione rigorosa del codice, specialmente quando si gestiscono segreti industriali o comunicazioni aziendali sensibili.
Resta da chiedersi quanta parte della nostra infrastruttura digitale poggi su fondamenta altrettanto friabili. Se l'efficacia immediata del codice diventa l'unico parametro di scelta, ignorando l'integrità della sorgente, siamo destinati a inseguire un'emergenza permanente. Quante altre "librerie funzionanti" stanno attualmente duplicando i nostri segreti in attesa di essere scoperte?
