Waspada, Modul Aplikasi Ini Diam-Diam Bisa Bajak Akun WhatsApp

Liputan6.com, Jakarta - Sebuah temuan serius kembali mengguncang para developer aplikasi. Disebutkan, paket berbahaya di repositori npm diketahui menyamar sebagai API (Application Programming Interface) WhatsApp dan diam-diam mencuri data pengguna.

Peneliti keamanan siber mengungkap paket npm bernama lotusbail berfungsi sebagai WhatsApp Web API palsu tersebut sudah diunduh lebih dari 56 ribu kali.

Dampaknya tidak main-main. Pesan WhatsApp, token login, daftar kontak, hingga file media pengguna bisa dicuri. Dijelaskan, akun WhatsApp pun berpotensi diambil alih sepenuhnya oleh pelaku kejahatan siber.

Temuan ini pertama kali diungkap oleh Koi Security. Mengutip laporannya via The Register, Selasa (23/12/2025), paket npm lotusbail telah tersedia untuk diunduh selama enam bulan, dan ini sangat berbahaya karena kode tersebut berfungsi.

“Yang satu ini benar-benar berfungsi sebagai API WhatsApp,” kata peneliti Koi Security, Tuval Admoni. “Ia mengirim dan menerima pesan seperti pustaka resmi."

Lotusbail merupakan turunan dari library resmi @whiskeysockets/baileys. Paket ini menggunakan WebSocket untuk berkomunikasi dengan server WhatsApp. Namun, mekanisme ini justru memungkinkan seluruh lalu lintas pesan justru diarahkan melewat lapinsan berbahaya yang dikendalikan penyerang.

Akibatnya, data autentikasi pengguna dapat direkam saat proses login, sementara pesan yang dikirim dan diterima dapat disadap diam-diam.

"Semua token otentikasi WhatsApp, setiap pesan dikirim atau diterima, daftar kontak lengkap, file media, semua yang melewati API akan diduplikasi dan dipersiapkan untuk dieksfiltrasi," tulis Admoni.

Untuk menghindari deteksi, malware ini menggunakan implementasi RSA khusus serta empat lapisan obfuscation, mulai dari manipulasi Unicode, kompresi LZString, encoding Base-91, hingga enkripsi AES, sebelum data dikirim ke server yang dikendalikan pelaku.

Selain itu, malware ini juga menyusup ke akun WhatsApp pengguna melalui proses pemasangan perangkat aplikasi obrolan, menghubungkan perangkat penyerang dengan perangkat korban.

Ini berarti bahkan setelah menghapus paket npm berbahaya tersebut, perangkat penyerang dapat tetap terhubung ke akun WhatsApp pengguna yang tidak menyadarinya.

Kasus ini menambah daftar panjang ancaman rantai pasok (supply chain attack) di ekosistem npm. Sebelumnya, sejumlah paket berbahaya juga diketahui mencuri aset kripto, kredensial, serta data sensitif lainnya, bahkan membanjiri registry npm melalui kampanye token farming.

The Register sebelumnya melaporkan bahwa lebih dari 150 ribu paket npm  berbahaya, yang terkait dengan kampanye Tea token farming, memaksa pengembang platform tersebut menghentikan program insentif dan merombak ulang protokol menjelang peluncuran mainnet pada awal 2026.

“Saya melihat ini sebagai pertanda buruk," kata CEO Tea, Tim Lewis, sebagaimana dikutip The Register. Ia menilai teknik serupa berpotensi digunakan secara masif untuk menyerang rantai pasok perangkat lunak, sehingga perbaikan mendasar menjadi hal yang mendesak. 

Sebelumnya, WhatsApp sedang mengembangkan pembaruan untuk membuat fitur Status makin praktis dan kreatif.

Salah satu fitur baru yang tengah dikembangkan adalah opsi “Simpan sebagai draf” (Save as Draft) saat pengguna membuat status. Fitur ini dirancang untuk menjawab keluhan pengguna yang kerap kehilangan progres saat harus menutup layar pembuatan Status secara mendadak.

Selama ini, jika pengguna keluar dari halaman pengeditan Status sebelum selesai, seluruh konten yang telah dibuat akan terhapus secara otomatis. Kondisi tersebut dinilai merepotkan, terutama saat pengguna sedang menyusun status berisi teks, gambar, atau elemen kreatif lainnya.

Melalui versi uji coba WhatsApp 2.25.36.6, sebagaimana dikutip dari Android Authority, Senin (1/12/2025), muncul indikasi kuat bahwa platform pesan instan ini menambahkan opsi penyimpanan sementara. Ketika pengguna menekan tombol keluar, akan muncul pilihan Simpan sebagai draf, Buang, atau Lanjutkan.

Status yang disimpan sebagai draf nantinya akan tetap tersimpan dan muncul kembali saat pengguna membuka fitur Status di kemudian hari. Dengan begitu, proses pembuatan konten bisa dilanjutkan tanpa perlu memulai kembali dari awal.

Tak hanya menghadirkan kemudahan, WhatsApp juga tengah menyiapkan stiker animasi khusus bertuliskan “2026”. Stiker ini dapat digunakan dalam mode tata letak yang menggabungkan beberapa foto ke dalam satu tampilan.

Menariknya, stiker animasi tersebut dilengkapi fitur pengaturan warna. Pengguna bisa menggantinya ke warna hijau, merah, atau ungu hanya dengan satu ketukan.

Meski demikian, kedua fitur ini masih dalam tahap pengembangan dan belum tersedia secara luas untuk pengguna. Namun, khusus stiker “2026”, kemunculannya diperkirakan tidak lama lagi karena bersifat musiman dan berkaitan dengan pergantian tahun.

ChatGPT milik OpenAI dan Copilot milik Microsoft bakal meninggalkan WhatsApp karena adanya perubahan pada ketentuan layanan aplikasi perpesanan tersebut. 

Meta akan melarang penggunaan chatbot AI yang tidak dibuat oleh internal perusahaan. Dilansir The Verge, Jumat (26/11/2025), OpenAI mengumumkan rencana pengunduran dirinya beberpa minggu lalu diikuti oleh Microsoft minggu ini.

Kedua perusahaan mengaitkan pengunduran diri ini dengan ketentuan layanan baru Meta untuk WhatsApp Business Solution, yang mulai berlaku pada 15 Januari 2026, dan menyatakan chatbot akan tetap dapat diakses di WhatsApp hingga tanggal tersebut.

Sebagai langkah transisi, OpenAI memberi opsi bagi pengguna untuk manautkan akun ChatGPT mereka ke WhatsApp agar riwayat percakapan tetap terbawa. Namun, Microsoft tidak menyediakan fasilitas serupa bagi pengguna Copilot.

Ketentuan baru ini diumumkan WhatsApp pada Oktober 2025. Dalam aturan tersebut, Meta menegaskan perusahaan AI tidak diperbolehkan memakai API bisnis WhatsApp untuk menyebar chatbot sebagai sebuah produk.

Namun, perusahaan lain masih dapat menggunakan WhatsApp untuk layanan pelanggan atau chatbot bantuan, selama fungsi utamanya bukan menjual chatbot AI itu sendiri. Dengan kata lain, Meta ingin mencegah kompetitor memanfaatkan platform-nya untuk menjangkau pengguna.

“Tujuan API WhatsApp Business adalah membantu bisnis memberikan layanan pelanggan dan mengirimkan pembaruan penting,” ujar Meta, sebagaimana dilansir TechCrunch yang dikutip dari The Verge.

“Fokus kami adalah mendukung puluhan ribu bisnis yang membangun pengalaman ini di WhatsApp,” perusahaan melanjutkan.

Dengan perubahan ini, chatbot AI pihak ketiga lainnya termasuk Perplexity diperkirakan akan menyusul keluar dari WhatsApp dalam waktu dekat.

Mulai Januari 2026, Meta AI akan menjadi satu-satunya chatbot AI yang dapat digunakan secara resmi dalam platform WhatsApp.

WhatsApp tengah menguji fitur baru untuk menampilkan label khusus di dalam obrolan grup. Bocoran fitur baru ini ditemukan oleh WABetaInfo. 

Dilansir Digital Trends, Senin (24/11/2025), WhatsApp beta terbaru untuk Android memperkenalkan fitur baru yang memungkinkan pengguna menetapkan dan menampilkan tag khusus di obrolan grup.

Umumnya, pengguna akan menebak siapa yang sedang berbincang di grup. Nantinya, pengguna bisa menambahkan “tag anggota” khusus di samping nama mereka. Label ini dapat menunjukkan peran atau tujuan mereka dalam grup tersebut.

Apa yang dapat pengguna lakukan dengan fitur tag ini:

• Pengguna dapat menetapkan tag hingga panjang 30 karakter yaitu karakter khusus, tanda centang, atau tautan tidak diizinkan.
• Tag anggota muncul di dua tempat, di samping nama anggota dalam daftar peserta dan di dalam buble pesan dalam obrolan grup.
• Setiap tag bersifat khusus, artinya pengguna dapat memiliki tag yang berbeda di grup yang berbeda.

Upaya ini menjadi langkah WhatsApp untuk menghadirkan struktur dan kejelasan pada grup besar yang kerap dipenuhi percakapan tanpa arah.

Dalam konteks kerja kelompok, komunitas sekolah, hingga panitia kegiatan, fitur ini diperkirakan dapat membantu anggota memahami peran satu sama lain.