Lotusbail-Malware tarift WhatsApp über Entwickler-Bibliothek

Eine hochgefährliche Schadsoftware hat sich als nützliches Entwickler-Tool getarnt und Zehntausende WhatsApp-Konten kompromittiert. Die als Lotusbail bekannte Malware nutzte eine populäre Code-Bibliothek, um Nachrichten, Kontakte und Zugangsdaten abzugreifen.

Berlin – Sicherheitsforscher schlagen Alarm: Ein raffinierter Angriff über die Entwickler-Plattform npm hat möglicherweise Zehntausende WhatsApp-Nutzer weltweit gefährdet. Die entdeckte Malware mit dem Namen Lotusbail gab sich monatelang als legale Schnittstelle zur WhatsApp-API aus. Über 56.000 Downloads später steht fest: Das vermeintliche Tool war eine ausgeklügelte Spionage-Software, die Kommunikation abhörte und heimlich Hintertüren in Konten einrichtete.

Die perfide Tarnung: Funktionierender Code

Das Besondere an diesem Angriff ist seine Tarnung. Lotusbail präsentierte sich als Abspaltung der legitimen „Baileys“-Bibliothek, mit der Entwickler WhatsApp-Funktionen in ihre Apps integrieren. Im Gegensatz zu plumper Malware funktionierte der schädliche Code tatsächlich einwandfrei. Entwickler, die damit Chat-Bots oder Support-Tools bauten, merkten zunächst nichts.

Viele WhatsApp-Nutzer merken erst zu spät, dass fremde Zugriffe nicht über „Hacks“ auf dem Telefon passieren, sondern über eingebundene Bibliotheken und heimliche Verknüpfungen. Wenn Sie verhindern wollen, dass Unbekannte Ihre Chats mitlesen oder ein Gerät dauerhaft koppeln, hilft ein klarer Plan: Der kostenlose Telegram‑Startpaket‑Report bietet eine praktische Schritt‑für‑Schritt‑Anleitung für den sicheren Umstieg, erklärt, wie Sie Nummern verbergen und geheime Chats nutzen – ideal für alle, die ihre Privatsphäre sofort verbessern wollen. Telegram-Guide jetzt kostenlos anfordern

„Diese Strategie des funktionierenden Codes ist höchst effektiv“, analysieren Experten von Koi Security. Die erwartete Funktionalität – das Senden und Empfangen von Nachrichten – wurde geliefert. So entstand ein trügerisches Sicherheitsgefühl, während im Hintergrund eine zweite, bösartige Code‑Ebene aktiv war. Geschätzte sechs Monate lang blieb das Paket unentdeckt im npm‑Register, einem zentralen Hub für JavaScript‑Code.

Heimliche Datenabflüsse im großen Stil

Einmal in einer Anwendung installiert, begann die eigentliche Spionage. Technische Analysen zeigen: Die Malware schob sich als Man-in-the-Middle zwischen die App und WhatsApp-Server. Von dieser Position aus konnte sie den gesamten Datenverkehr abfangen.

Erfasst wurden höchst sensible Informationen: Authentifizierungs-Tokens, Sitzungsschlüssel, komplette Nachrichtenverläufe, Kontaktlisten und geteilte Mediendateien. Die gestohlenen Daten wurden verschlüsselt und an Server der Angreifer übertragen. Kritisch dabei: Die Diebstähle erfolgten auf der Anwendungsebene des autorisierten Geräts. Die Ende-zu-Ende-Verschlüsselung von WhatsApp war hier machtlos.

Die gefährliche Hintertür: Dauerhafter Zugriff

Die wohl bedrohlichste Funktion von Lotusbail ist ihre Fähigkeit, dauerhafte Zugänge zu schaffen. Die Malware nutzte dafür die „Verbundenen Geräte“-Funktion von WhatsApp.

Während des Anmeldevorgangs löste der schädliche Code heimlich eine Verknüpfungsanfrage aus. Dadurch wurde ein Gerät der Angreifer mit dem WhatsApp-Konto des Opfers verbunden. Diese unbefugte Verknüpfung gewährte fortlaufenden Zugriff auf alle Konversationen – selbst dann, wenn das schädliche npm-Paket später erkannt und entfernt wurde. Solange das Opfer nicht manuell in den Einstellungen nachsieht und den Zugriff widerruft, können die Angreifer weiterhin Nachrichten mitlesen.

Angriff auf die Software-Lieferkette

Der Fund unterstreicht einen wachsenden Trend: Supply-Chain-Angriffe. Dabei zielen Hacker nicht direkt auf Endnutzer, sondern auf die Bausteine der Software, die Entwickler verwenden. Kompromittiert man eine solche Bibliothek, verteilt sich die Malware automatisch auf Tausende darauf basierende Anwendungen.

Dieser Angriff zeigt eine neue Stufe der Raffinesse. Frühere npm-Angriffe nutzten oft „Typosquatting“ – das versehentliche Herunterladen falsch geschriebener Paketnamen. Lotusbail setzte auf Social Engineering, indem es ein tatsächlich nützliches Tool anbot. Fortgeschrittene Anti-Debugging-Techniken, wie Schleifen, die Analyse-Tools einfrieren sollten, belegen die hohen technischen Ressourcen der Angreifer.

Was Nutzer und Entwickler jetzt tun müssen

Das Lotusbail-Paket wurde zwar aus dem npm-Register entfernt. Die Gefahr besteht weiter für alle Anwendungen, die den Code bereits eingebunden haben, und für alle kompromittierten WhatsApp-Konten.

Sicherheitsexperten raten dringend:
* Entwickler, die in den letzten sechs Monaten mit WhatsApp-API-Bibliotheken gearbeitet haben, sollten ihre Abhängigkeiten sofort überprüfen.
* Alle WhatsApp-Nutzer sollten regelmäßig den Bereich „Verbundene Geräte“ in den App-Einstellungen kontrollieren. Unbekannte Geräte – besonders solche, die als generische Browser oder unbekannte Desktop-Clients erscheinen – müssen sofort abgemeldet werden.

Der Vorfall dürfte die Debatte um strengere Prüfverfahren für Open-Source-Software befeuern. Gleichzeitig steht WhatsApp in der Pflicht, die Sicherheitsvorkehrungen für das Verknüpfen von Geräten zu überdenken, um heimliche Autorisierungen zu verhindern.

PS: Wenn Sie nach dem Lotusbail-Fall Ihre Konten schnell sichern wollen, ist dieser kostenlose Telegram‑Report ein praktischer Schnellstart: In wenigen Minuten lernen Sie, wie Sie Chats und Kontakte übertragen, die Nummer schützen und geheime Chats einrichten – ohne Datenverlust. Ideal, wenn Sie die Kontrolle über Ihre Unterhaltung wiederherstellen möchten. Telegram-Umstieg jetzt gratis downloaden