WhatsApp 메시지와 연락처를 수집한 Lotusbail npm 패키지 발견

• Lotusbail 패키지는 합법적인 WhatsApp Web API 라이브러리인 Baileys를 포크한 형태로, 6개월간 npm에서 5만6천 회 이상 다운로드된 악성 코드 포함 패키지임
• 정상적으로 작동하는 API 기능을 제공하면서 WhatsApp 인증 정보, 메시지, 연락처, 미디어 파일을 탈취하고 공격자 서버로 전송함
• 데이터는 RSA, AES, Base-91, LZString 등 다중 암호화 및 난독화 과정을 거쳐 전송되어 보안 모니터링 회피가 가능함
• 패키지는 하드코드된 페어링 코드를 통해 공격자 기기를 사용자의 WhatsApp 계정에 영구 연결시키는 백도어를 설치함
• 이 사례는 공급망 공격의 고도화를 보여주며, 정적 분석만으로는 탐지 불가능한 행동 기반 보안 감시의 필요성을 강조함

Lotusbail 패키지 개요

• lotusbail은 합법적인 @whiskeysockets/baileys의 포크로, WhatsApp Web API 기능을 그대로 제공함
  • 메시지 송수신이 정상적으로 작동해 개발자가 의심 없이 설치할 가능성이 높음
  • npm에 6개월간 등록되어 있으며, 작성 시점 기준으로 여전히 다운로드 가능 상태임
• 실제 기능 뒤에는 WhatsApp 자격 증명 탈취, 메시지 가로채기, 연락처 수집, 백도어 설치 등의 악성 행위가 숨겨져 있음

탈취되는 정보

• 인증 토큰과 세션 키, 전체 메시지 기록, 전화번호 포함 연락처 목록, 미디어 파일 및 문서, 지속적 백도어 접근 권한이 포함됨
• 모든 데이터는 공격자 서버로 전송되기 전 암호화 처리됨

작동 방식

실제로 동작하는 위장 기능

• 대부분의 악성 npm 패키지는 오작동하거나 의심스러운 코드로 쉽게 식별되지만, Lotusbail은 정상적으로 작동하는 API로 위장함
• 합법적인 Baileys 라이브러리를 기반으로 하며, 메시지 송수신 기능이 완전하게 구현되어 있음
• 이로 인해 개발자들이 “정상 작동하는 코드”에서는 악성 행위를 의심하지 않게 되는 사회공학적 기법이 사용됨

데이터 탈취 및 전송

• 패키지는 WhatsApp과 통신하는 WebSocket 클라이언트를 감싸는 형태로 동작함
  • 인증 시 자격 증명을 캡처하고, 메시지 수신·발신 시 내용을 모두 복제함
  • 정상 기능은 그대로 유지되며, 단지 모든 데이터가 공격자에게 이중 전송됨
• 탈취된 데이터는 커스텀 RSA 구현으로 암호화되어 전송됨
  • WhatsApp 자체의 종단간 암호화와 별도로 존재하며, 네트워크 감시 회피용 암호화로 사용됨
• 서버 주소는 코드 내에 직접 노출되지 않고, 암호화된 설정 문자열 속에 숨겨짐
  • Unicode 변수 조작, LZString 압축, Base-91 인코딩, AES 암호화 등 4단계 난독화 적용

백도어 설치

• WhatsApp의 기기 페어링 코드 기능을 악용해 공격자 기기를 사용자의 계정에 연결함
  • 패키지 내에 AES로 암호화된 하드코드 페어링 코드가 포함되어 있음
  • 사용자가 인증할 때 공격자 기기도 동시에 연결되어 지속적 계정 접근 권한을 획득함
• 공격자는 메시지 열람, 발신, 미디어 다운로드, 연락처 접근 등 전체 계정 제어 가능
• npm 패키지를 삭제해도 공격자 기기는 여전히 연결 상태로 남으며, WhatsApp 설정에서 수동으로 모든 기기 연결 해제를 해야만 차단 가능함

분석 회피 기법

• 코드에는 27개의 무한 루프 트랩이 포함되어 있어 디버깅 도구 탐지 시 실행이 중단됨
  • 디버거, 프로세스 인자, 샌드박스 환경 등을 감지해 동적 분석 방해
  • 악성 코드 구간에 주석이 달려 있으며, 체계적인 개발 관리 흔적이 존재함

결론 및 보안 시사점

• 공급망 공격의 정교화가 진행 중이며, 정상 작동하는 코드 형태로 위장된 사례가 증가함
• 정적 분석 및 평판 기반 검증만으로는 탐지가 어렵고, 실행 중 행위 분석(behavioral analysis) 이 필요함
• Lotusbail 사례는 “코드가 작동한다는 이유로 안전하다고 믿는” 보안 공백을 악용한 사례로, 런타임 행위 감시 시스템 구축의 중요성을 보여줌
• Koi Security 연구팀은 이러한 런타임 기반 탐지 기술을 통해 기존 검증 절차를 우회하는 위협을 식별함