Notebookcheck Logo

Lotusbail: npm-Paket knackt Whatsapp und schickt alles nach Hause

npm-Paket knackt Whatsapp (Symbolbild Nano Banana Pro)
npm-Paket knackt Whatsapp (Symbolbild Nano Banana Pro)
Über 56.000 Entwickler luden lotusbail herunter, um WhatsApp-Funktionen in ihren Programmen zu nutzen. Doch die Library lieferte nicht nur funktionierenden Code, sondern auch eine Hintertür. Um die wieder loszuwerden, müssen Nutzer selbst aktiv werden.
Security Hack / Data Breach Social Media

Moderne Softwareentwicklung funktioniert heute oft wie ein Besuch im Baumarkt. Man baut nicht jedes Regalbrett selbst, sondern greift zu fertigen Teilen. In der Welt von JavaScript heißt dieses Lager npm (Node Package Manager). Hier liegen Millionen kleiner Code-Pakete bereit, die Entwickler einfach in ihre eigenen Apps einbauen können – egal ob für die Bildbearbeitung oder eben für die Anbindung von WhatsApp. Das spart Zeit, birgt aber Risiken, wie der Fall lotusbail zeigt. Den haben Sicherheitsforscher von Koi offen gelegt.

Das Paket wurde über 56.000 Mal heruntergeladen. Der Clou: Es ist kein offensichtlicher Schrott. Es basiert auf der etablierten Library baileys und funktioniert technisch einwandfrei. Entwickler, die eine WhatsApp-Anbindung für ihre Projekte suchten, bekamen genau das, was auf der Verpackung stand. Erst im "Kleingedruckten" oder besser gesagt im Source-Code finden sich Hinweise auf das Problem mit dem Paket. Professionelle Schadsoftware-Entwicklung folgt hier offensichtlich modernen Qualitätsstandards, inklusive sauber kommentierter Code-Abschnitte.

Die Malware klinkt sich direkt in den Datenstrom zwischen App und WhatsApp-Servern ein. Sobald eine Verbindung steht, werden Authentifizierungs-Token, Chat-Verläufe, Kontaktlisten und Medien abgegriffen. Damit die Beute unbemerkt bleibt, nutzt lotusbail eine eigene RSA-Verschlüsselung für den Abtransport zu den Angreifern. Das verhindert, dass einfache Netzwerk-Wächter den Braten riechen, da der Traffic wie normales Rauschen aussieht.

Die Hintertür bleibt, wenn Nutzer nicht selbst aktiv handeln

Die größte Tücke ist die Art der Verknüpfung. Die Malware nutzt hartcodierte Pairing-Codes, um heimlich ein Gerät der Angreifer als "verknüpftes Gerät" im WhatsApp-Account zu registrieren. Der Clou für die Angreifer: Selbst wenn ein Entwickler das infizierte npm-Paket aus seinem Projekt wirft und die App neu baut, bleibt der Zugriff bestehen. Die Verknüpfung auf den WhatsApp-Servern wird durch das Löschen des Codes nicht aufgehoben. Programmierer sollten Nutzer ihrer Apps dringend darauf hinweisen, wenn sie lotusbail verwendet haben.

Ohne einen manuellen Blick in die WhatsApp-Einstellungen unter „Verknüpfte Geräte“, um unbekannte Sessions radikal zu beenden, bleibt die Hintertür für die Angreifer sperrangelweit offen. Ein klassischer Fall von Supply-Chain-Angriff, bei dem das Vertrauen in funktionierende Bausteine gnadenlos ausgenutzt wurde.

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
Mail Logo
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2025-12 > Lotusbail: npm-Paket knackt Whatsapp und schickt alles nach Hause
Autor: Marc Herter, 23.12.2025 (Update: 23.12.2025)