Bisnis.com, JAKARTA — Peneliti keamanan siber mengungkapkan detail mengenai paket berbahaya baru di repository npm yang menyamar sebagai API WhatsApp.
API WhatsApp, atau WhatsApp Business API merupakan antarmuka pemrograman aplikasi (Application Programming Interface) resmi dari WhatsApp yang dirancang untuk bisnis skala menengah hingga besar.
Fitur ini memungkinkan integrasi WhatsApp dengan sistem lain seperti CRM, chatbot otomatis, dan pengiriman pesan massal, berbeda dari aplikasi WhatsApp Business biasa yang lebih sederhana.
Paket bernama “lotusbail” ini memiliki kemampuan sebagai alat yang sah sekaligus mampu menyadap setiap pesan dan menautkan perangkat penyerang ke akun WhatsApp korban dengan menyamar sebagai API.
Diketahui, paket ini telah diunduh lebih dari 56.000 kali sejak pertama kali diunggah ke registry oleh pengguna bernama “seiren_primrose” pada Mei 2025.
Berdasarkan data yang dihimpun, sebanyak 711 unduhan tercatat terjadi sepanjang pekan lalu. Hingga laporan ini ditulis, library tersebut masih tersedia untuk diunduh.
Melansir dari The Register Kamis (25/12/2025), peneliti Koi Security Tuval Admoni menjelaskan bahwa di balik kedok alat itu, malware ini mencuri kredensial WhatsApp, memanen kontak, hingga menginstal backdoor persisten.
“Malware ini mengenkripsi semuanya sebelum mengirimkannya ke server pelaku ancaman,” kata Admoni dalam laporannya yang dikutip, Rabu (24/12/2025). Secara spesifik, paket ini dirancang untuk menangkap token otentikasi, kunci sesi, riwayat pesan, hingga dokumen media dan dokumen.
Sebagai informasi, modus ini terinspirasi oleh @whiskeysockets/baileys yang merupakan library TypeScript berbasis WebSockets yang sah untuk berinteraksi dengan WhatsApp Web API.
Serangan dilakukan melalui wrapper WebSocket berbahaya. Jalur ini merutekan informasi otentikasi dan pesan, sehingga memungkinkan peretas menangkap data sensitif yang kemudian dikirim ke URL yang dikendalikan penyerang.
Lebih lanjut, paket ini memiliki fungsi tersembunyi untuk membajak proses penautan perangkat menggunakan kode pemasangan yang disematkan secara hard-coded.
“Saat Anda menggunakan library ini untuk otentikasi, Anda tidak hanya menautkan aplikasi Anda, tetapi juga menautkan perangkat pelaku ancaman,” ujar Admoni.
Hal ini memberikan akses penuh dan persisten bagi peretas terhadap akun WhatsApp korban tanpa disadari.
Pihak Koi Security Idan Dardikman juga mengatakan bahwa aktivitas berbahaya ini dipicu secara otomatis ketika pengembang menggunakan library tersebut untuk terhubung ke WhatsApp.
“Kode pairing backdoor juga aktif selama aliran otentikasi, jadi perangkat penyerang akan tertaut segera setelah Anda menghubungkan aplikasi ke WhatsApp,” kata Dardikman.
Risiko operasional bagi pelaku usaha sangat tinggi karena akses penyerang tetap bertahan meskipun paket “lotusbail” telah dihapus dari sistem.
Perangkat pelaku ancaman akan tetap tertaut ke akun WhatsApp hingga pengguna memutuskannya secara manual melalui pengaturan aplikasi. Selain itu, “lotusbail” dilengkapi kemampuan anti-debugging yang memicu infinite loop saat mendeteksi adanya alat debugging, sehingga menyebabkan eksekusi program membeku.
Pihak Koi Security menegaskan bahwa serangan rantai pasok semacam ini makin canggih dan sulit dideteksi oleh keamanan tradisional karena kode tersebut terlihat berfungsi normal. (Muhammad Diva Farel Ramadhan)