引言

2025年12月，Koi Security團隊發現一個名為 lotusbail 的 npm 套件正透過偽裝為「WhatsApp API」的方式，竊取使用者的認證資訊、聊天記錄以及聯絡人資料。此事件不僅顯示了供應鏈攻擊的複雜度，也揭示了對即時通訊平台的高度威脅。本文將針對該攻擊的技術細節、執行流程、影響範圍以及如何加強防禦，進行深入剖析。

攻擊手法與執行流程

偽裝成合法 API 的惡意封裝

攻擊者將惡意程式碼包裝在一個看似正常的 WebSocket 客戶端中，並在 package.json 中聲明依賴與 API 接口。使用者在專案中安裝 lotusbail 後，npm 會執行 preinstall 腳本，該腳本會偵測作業系統，下載對應的二進位載體，並以動態編碼方式執行惡意程式。此流程與 (iThome, 2024) 中提到的「preinstall」加載機制相似，且利用多層混淆（Eval、XOR、URL encode）降低靜態掃描檢測的成功率。

Socket Wrapper 以攔截通訊

惡意程式在 WebSocket 連線建立時，先將真正的 WhatsApp WebSocket 包裝在自己的「wrapper」內。每一筆訊息在傳遞前都經過此 wrapper，攻擊者可在：

驗證階段捕捉 auth token 與 session key。
接收訊息時攔截並記錄。
傳送訊息時把內容寫入本地暫存區。

此機制直接對應 Koi Security 報告中的「捕獲資料」程式碼片段，並在 (BleepingComputer, 2025) 中以圖示說明。

資料外泄與持久化

惡意程式將捕獲的資料編碼後傳送至攻擊者控制的 C2 伺服器，並建立一個後門，確保系統在重啟後仍可被遠端控制。該後門可隱匿於 npm 安裝的 node_modules 內，並利用 process.env 或 child_process 來執行加密命令，降低被入侵偵測的機率。

目標與影響範圍

此類攻擊對 WhatsApp 使用者的影響極為嚴重：

個人隱私：聊天內容、媒體檔案與聯絡人資訊可被竊取。
企業安全：若公司內部使用 WhatsApp 作業溝通，會造成機密資訊外泄。
信任危機：使用者對 npm 生態系統的信任度下降，進一步影響開發社群。

攻擊者利用的關鍵在於「WhatsApp API」的高頻使用與大規模下載量，正如 (The Hacker News, 2025) 所指出，該套件自上架以來已累計超過 56,000 次下載。

供應鏈風險管理

依賴管理最佳實踐

使用 npm audit 與第三方工具（如 Snyk、Sonatype Nexus）定期掃描依賴。
啟用 package-lock.json 或 pnpm-lock.yaml 以鎖定版本，避免自動更新至惡意版本。
對高下載量、低維護者活躍度的套件保持警惕，並考慮使用替代品。

審查與偵測機制

檢查 preinstall、postinstall 腳本，並對腳本內容進行審核。
使用 npm pack 產生 tarball，並在本地解壓後手動檢查。
啟用 npm ci 以確保乾淨安裝環境。

內部政策與員工教育

建立「安全依賴審核」流程，要求至少兩位工程師共同審核新加入的第三方套件。
定期舉辦安全工作坊，提升團隊對供應鏈攻擊的認知。
在 CI/CD 管道中加入自動化安全測試，例如 npm audit fix --force。

防禦建議

使用「白名單」機制，只允許已審核的套件被安裝。
在開發環境與生產環境分離，避免直接在生產環境安裝 npm。
實施「最小權限」原則，限制套件執行時的系統存取權限。
將 Node.js 版本保持在官方支援範圍內，避免舊版漏洞被利用。
監控網路流量，偵測到大量外向連線時即時警報。
對重要資料使用端到端加密，即使憑證被竊取，內容仍難以解讀。

MITRE ATT&CK 對應

T1055 – 進程注入 (利用 preinstall 腳本注入惡意程式)
T1071 – 受控通訊 (使用 WebSocket 監聽與 C2 伺服器通信)
T1021 – 內部網路傳輸 (利用內部網路傳輸資料)
T1070 – 消除痕跡 (使用編碼與混淆降低檢測率)

結論

2025年底的 npm 供應鏈攻擊再次提醒我們，任何看似「輕量」的第三方套件都可能是攻擊者的入口。透過偽裝、混淆與自動化腳本，惡意程式能在開發環境中悄無聲息地注入並竊取敏感資料。企業與開發團隊必須從依賴管理、腳本審核、權限控制等多個層面加強安全防護，並持續關注供應鏈安全動態，以確保資訊資產不被外部威脅侵蝕。