NPM「lotusbail」がWhatsAppペアリングを乗っ取り、会話窃取と持続アクセスを実現した意味

今日の深掘りポイント

• サプライチェーン経由で「コミュニケーション基盤（WhatsApp）」に踏み込む新しい横断型リスクです。依存ライブラリ1つの導入が、E2EEの外側で会話と添付を恒常的に吸い上げる経路になり得ます。
• 単なる一過性の実行ではなく、「Linked devices（連携端末）」を悪用したアカウントレベルの持続アクセスが本質です。パッケージ削除だけでは被害終息になりません。
• 56,000超のダウンロードと約6カ月の潜伏は、CI/開発端末におけるpostinstall実行・ネットワーク透過（WebSocket＋独自暗号）・ライブラリ偽装の合わせ技が効いた可能性を示唆します。
• 組織対応はSBOM横断点検、悪性依存の除去と全セッション失効（WhatsApp含む）、ネットワーク・EDRの相関で「アカウントの恒常侵害」を素早く切り離すことが肝です。

はじめに

Koi Securityの研究者が、NPMパッケージ「lotusbail」がWhatsAppメッセージ窃取と持続的バックドア機能を持つトロイの木馬だったと公表しています。報道によれば、同パッケージは2025年5月頃から累計56,000回以上ダウンロードされ、WhatsAppの公式ペアリングプロセスを乗っ取ることで攻撃者に被害者アカウントへの恒常的アクセスを与えていたとされます。通信路にはWebSocket、秘匿には独自実装のRSA暗号を用い、6カ月近く疑われず運用されていたと伝えられています。ユーザー側の初動として、WhatsApp設定から不明な「Linked devices」を手動でログアウトすることが推奨されています。

本件は「開発サプライチェーン」から「ビジネスコミュニケーション」へリスクが伝播する典型例で、依存性管理・ネットワーク監視・アカウント保護の三位一体での即応が求められる事案です。

参考には現時点で一般公開の報道を用いており、一次技術詳細の確認は限定的です。今後の追加分析により具体的なIoCやC2詳細が明らかになれば、検知・封じ込めは一段と精緻化できるはずです。

深掘り詳細

事実関係（公表情報・報道の要点）

• NPM「lotusbail」は、WhatsAppのメッセージやデータを窃取するトロイの木馬として暴露されています。ダウンロード数は累計56,000回超と報じられています。
• 正当なライブラリを模倣し、約6カ月間にわたり疑われずに使われていたとされます。
• WhatsAppの正規ペアリング（Linked devices）を乗っ取り、攻撃者がアカウントに持続的にアクセス可能な状態を作ります。アンインストール後もセッションが生きる可能性があります。
• 通信はWebSocketを用い、データはカスタムRSA暗号で秘匿され、検知回避が図られていたとされます。
• 初動として、WhatsApp設定から不明な連携端末をログアウトすることが推奨されています。
• 出典: Hackread

インサイト（CISO/SOCが見るべき構造的リスク）

• サプライチェーンから「アカウント持続化」へ
  • パッケージ導入時に実行されるpostinstallやスクリプト実行の特性を足掛かりに、ユーザ空間でのセッション権限を奪取し、アカウント側（WhatsAppのLinked devices）にしがみつく設計が示唆されます。これは、マルウェアの除去＝アクセス剥奪にならないことを意味します。
• E2EEの「外」にある現実的な盗み口
  • 盗聴困難なE2EEメッセージでも、クライアント端で復号後の可視状態にアクセスできれば窃取可能です。今回のようなペアリング乗っ取りは、暗号理論ではなく運用面の弱点を突く典型です。
• 検知回避の組み合わせ
  • WebSocket（wss）＋独自暗号化は、プロキシやNDRでの内容検査を鈍らせます。さらにライブラリ偽装はSCAや脆弱性DB照合だけでは気づきにくい類型です。ダウンロード数と潜伏期間は、検知の難しさと審査の穴を示す定量的サインと読みます。
• ビジネスへの波及
  • 開発端末の個人WhatsAppや、営業・サプライヤとの応対でWhatsAppを併用する実務があると、会話・添付・連絡先が横断的に漏えいしかねません。海外相手先との通信で越境データ移転・本人同意・記録保持などコンプライアンス課題が一気に現実化します。

脅威シナリオと影響

以下は公表情報に基づく仮説に沿ったシナリオで、MITRE ATT&CKの代表的なテクニックへ暫定マッピングします（最終的なテクニックIDは追加の技術分析で修正され得ます）。

• シナリオ1：開発端末での依存導入 → WhatsAppアカウントへの持続侵害

  • 流れ（仮説）
    • 開発者がlotusbailを導入（npm install/CI）。postinstallや初期化コードが実行。
    • ローカル環境のブラウザ/WebView/ヘッドレス経由で正規のWhatsAppペアリングフローに介入し、攻撃者側端末をLinked devicesとして紐付け。
    • 以後、アンインストール後も攻撃者が会話・添付・連絡先に恒常アクセス。
  • ATT&CK（暫定）
    • Initial Access: Supply Chain Compromise (T1195), User Execution (T1204)
    • Defense Evasion: Masquerading (T1036), Obfuscated/Compressed Files & Info (T1027)
    • Persistence: Valid Accounts (T1078), External Remote Services (T1133)
    • Command and Control: Application Layer Protocol – Web Protocols/WebSockets (T1071.001)
    • Exfiltration: Exfiltration Over C2 Channel (T1041)
  • 影響
    • 会話・添付・通話履歴・連絡先の継続的漏えい。顧客情報・取引情報・内部意志決定の先読みなど業務影響が長期化します。

• シナリオ2：CI/ビルド環境からの環境機密の二次漏えい

  • 流れ（仮説）
    • CI上でも依存導入時にスクリプトが走り、環境変数やビルドシークレット（クラウド鍵、レジストリトークン等）を併せて収集・送信。
    • WhatsApp侵害に加えて、リポジトリやクラウドへの横展開の足掛かりに。
  • ATT&CK（暫定）
    • Credential Access: Unsecured Credentials (T1552), Input Capture/Collection (T1056/T1114)
    • Discovery/Collection: Query Registry/Env (T1012/T1082), Archive Collected Data (T1560)
    • Exfiltration: Same as above (T1041)
  • 影響
    • サービスアカウント乗っ取り→アーティファクト改ざん→顧客配布物への再注入という負のループを引き起こす恐れがあります。

• シナリオ3：役員・営業端末の混用と越境データ問題

  • 流れ（仮説）
    • 役員の開発参画/検収端末や営業端末でlotusbailが導入・実行。
    • WhatsApp Business/個人の双方が侵害され、海外の相手先サーバへ継続送信。
  • ATT&CK（暫定）
    • Impact/Collection/Exfiltrationの複合。技術的には上記と同様。
  • 影響
    • 個人情報保護法や契約上の守秘義務に関わる越境移転・外部提供の扱いが焦点化します。法務・DPOと即時連携が必要です。

総合的に、事案は「検知より遮断」「マルウェア除去よりアカウント失効」の優先順位で動くべき性質です。今回のスコアリングが示唆するのは、短期のインシデントレスポンス適用可能性と、実運用への影響の広がりの大きさで、楽観視すべき余地は小さいという判断です。

セキュリティ担当者のアクション

初動は72時間以内の一斉確認・失効・除去を前提に、技術・アカウント・法務を並行処理するのが現実的です。

• 影響資産の特定と除去

  • SBOM/依存グラフで「lotusbail」文字列と依存鎖を横断検索（ソース、lockfile、アーティファクト、イメージ）。例：grep -R "lotusbail"、npm ls、yarn why、pnpm listなどです。
  • 当該依存を除去・代替し、リリースブランチとCIテンプレートを更新します。過去ビルドの再現性が要る場合は、改ざんされていないビルド出自に巻き戻す計画も検討します。
  • CI/開発でのスクリプト自動実行を抑制（恒常化）：npm/pnpm/yarnのインストール時は --ignore-scripts を標準化し、必要なパッケージだけ個別許可にします。レジストリプロキシ（私設NPM）での許可リスト運用を導入します。

• アカウントとセッションの強制失効（最優先）

  • WhatsApp（個人/Business）
    • モバイルアプリの設定 → Linked devices（連携端末）から未知の端末を全てログアウトします。再ログイン時は端末名・位置・時刻を確認し、2段階認証（PIN）を強制します。
  • 開発・運用関連
    • GitHub/GitLab/クラウド（AWS/Azure/GCP）・コンテナレジストリ・NPMのアクセストークン、CIシークレットを一括ローテーションします。個人アクセストークンは最小権限で再発行します。

• ネットワーク/EDR検知の暫定ルール（高感度で短期運用）

  • 「node/npm/ts-node 等のプロセス」からのwss/https外向き長時間セッション（特にWhatsApp関連ドメインや未知FQDN）を相関し、端末・ユーザと突合してアラートします。
  • WebSocket Upgrade（HTTP 101）を伴う長寿命接続＋独自暗号のペイロードサイズ変動をNDRでヒューリスティック検知します。
  • インストール直後に外向き通信・認証要求・ブラウザ起動（ヘッドレス含む）が連鎖したイベントを相関（EDR+Proxy+IdPログ）します。

• 端末IRの要点

  • 影響端末のブラウザ/WhatsAppデスクトップのセッション状態、Service Worker、LocalStorage/IndexedDBの不審エントリをスナップショット取得します。
  • node_modules内のlotusbail配下、postinstallスクリプト、ネイティブアドオンのハッシュを採取し、時間軸でC2通信と照合します。

• サプライチェーン・ガバナンス強化

  • 依存追加のチェンジ管理を厳格化（SCAゲート、強制レビュー、Owner署名・発行者検証）。npm provenance/SLSA準拠のアテステーションをビルド通過条件にします。
  • 私設レジストリにキャッシュせず、承認済みのバージョンのみミラーする方式に切り替えます。新規依存は検疫環境で振る舞い観測（ネットワーク・ファイル・プロセス）を実施します。
  • 開発端末のコミュニケーションアプリ使用をポリシー化し、業務と私用の分離（VDI/ブラウザ分離/コンテナ）を徹底します。

• 法務・プライバシー対応

  • 会話・添付・連絡先の外部提供・越境移転に該当する可能性があるため、該当部門・DPOと影響評価（DPIA）を即時に実施します。必要に応じて関係先への連絡・顧客通知・当局報告を検討します。

• コミュニケーション

  • 影響ユーザには「アンインストールでは安心できない。Linked devicesの確認・失効が必須」であることを強調します。復旧完了の定義に「セッション失効」「トークンローテーション」「再ビルド・再配布」まで含めます。

最後に、今回のスコアリングが示す通り、対応は「即応可能・実効的だが、放置すれば被害が持続・拡大する」性質です。検知よりも遮断・失効を先に、恒常アクセスの鎖を断ち切ることに集中すべき段階です。

参考情報

• Hackread: NPM package “lotusbail” exposed as Trojan that steals WhatsApp chats（英語）: https://hackread.com/npm-package-lotusbail-trojan-steal-whatsapp-chats/