Jazirah Indonesia – Peneliti keamanan siber mengungkap keberadaan paket npm berbahaya yang beroperasi sebagai API WhatsApp palsu dan berpotensi menyadap pesan serta mengambil alih akun pengguna secara diam-diam.
Temuan tersebut pertama kali diungkap oleh perusahaan keamanan siber Koi Security. Mengutip laporan yang dipublikasikan The Register pada Selasa (23/12/2025), paket lotusbail telah tersedia di repositori npm selama sekitar enam bulan sebelum akhirnya terdeteksi.
“Paket ini benar-benar berfungsi sebagai API WhatsApp. Ia mampu mengirim dan menerima pesan layaknya pustaka resmi,” ujar peneliti Koi Security, Tuval Admoni.
Lotusbail diketahui merupakan turunan dari pustaka resmi @whiskeysockets/baileys. Paket tersebut menggunakan koneksi WebSocket untuk berkomunikasi dengan server WhatsApp. Namun, seluruh lalu lintas pesan justru dialihkan melalui lapisan berbahaya yang dikendalikan oleh penyerang.
Melalui mekanisme tersebut, data autentikasi pengguna dapat direkam saat proses login, sementara pesan masuk dan keluar dapat disadap tanpa disadari korban.
“Semua token otentikasi WhatsApp, setiap pesan yang dikirim atau diterima, daftar kontak lengkap, hingga file media akan diduplikasi dan disiapkan untuk dieksfiltrasi,” tulis Admoni dalam laporannya.
Untuk menghindari deteksi sistem keamanan, malware ini dilengkapi berbagai teknik penyamaran canggih. Di antaranya penggunaan implementasi RSA khusus serta empat lapisan obfuscation, mulai dari manipulasi Unicode, kompresi LZString, encoding Base-91, hingga enkripsi AES sebelum data dikirim ke server yang dikendalikan pelaku.
Temuan ini menjadi peringatan serius bagi para pengembang agar lebih berhati-hati dalam memilih dan menginstal paket pihak ketiga, serta selalu memeriksa keaslian dan reputasi pustaka yang digunakan dalam pengembangan aplikasi.
