Paket Berbahaya di npm Menyamar API WhatsApp, Puluhan Ribu Pengguna Terancam

Opinimalut – Ancaman keamanan siber kembali mengintai ekosistem pengembang aplikasi. Sebuah paket berbahaya di repositori npm dilaporkan menyamar sebagai Application Programming Interface (API) WhatsApp dan diam-diam mencuri data pengguna dalam skala besar.

Peneliti keamanan siber mengungkap paket npm bernama lotusbail berfungsi sebagai API WhatsApp Web palsu dan telah diunduh lebih dari 56 ribu kali. Paket ini memungkinkan pelaku kejahatan siber mencuri pesan WhatsApp, token login, daftar kontak, hingga file media pengguna. Bahkan, akun WhatsApp korban berpotensi diambil alih sepenuhnya.

Temuan tersebut pertama kali diungkap oleh perusahaan keamanan siber Koi Security. Mengutip laporan yang dipublikasikan The Register pada Selasa (23/12/2025), paket lotusbail telah tersedia di repositori npm selama sekitar enam bulan sebelum akhirnya terdeteksi.

“Paket ini benar-benar berfungsi sebagai API WhatsApp. Ia mampu mengirim dan menerima pesan layaknya pustaka resmi,” ujar peneliti Koi Security, Tuval Admoni.

Lotusbail diketahui merupakan turunan dari pustaka resmi @whiskeysockets/baileys. Paket tersebut menggunakan koneksi WebSocket untuk berkomunikasi dengan server WhatsApp. Namun, seluruh lalu lintas pesan justru dialihkan melalui lapisan berbahaya yang dikendalikan oleh penyerang.

Melalui mekanisme tersebut, data autentikasi pengguna dapat direkam saat proses login, sementara pesan masuk dan keluar dapat disadap tanpa disadari korban.

“Semua token otentikasi WhatsApp, setiap pesan yang dikirim atau diterima, daftar kontak lengkap, hingga file media akan diduplikasi dan disiapkan untuk dieksfiltrasi,” tulis Admoni dalam laporannya.

Untuk menghindari deteksi sistem keamanan, malware ini dilengkapi berbagai teknik penyamaran canggih. Di antaranya penggunaan implementasi RSA khusus serta empat lapisan obfuscation, mulai dari manipulasi Unicode, kompresi LZString, encoding Base-91, hingga enkripsi AES sebelum data dikirim ke server yang dikendalikan pelaku.

Temuan ini menjadi peringatan serius bagi para pengembang agar lebih berhati-hati dalam memilih dan menginstal paket pihak ketiga, serta selalu memeriksa keaslian dan reputasi pustaka yang digunakan dalam pengembangan aplikasi.