La 26 decembrie 2025 a fost semnalat un pachet malițios distribuit prin Node Package Manager (npm) care se prezenta drept o bibliotecă legitimă pentru interfaţa WhatsApp Web API, dar conţinea funcții ascunse de spionaj. Malware-ul, activ de câteva săptămâni, a permis atacatorilor să preia controlul conturilor, să intercepteze mesaje și să acceseze profilurile utilizatorilor fără ca aceștia să-și dea seama. Investigațiile au estimat că peste 56.000 de conturi au fost compromise; alte surse menţionează cifre apropiate și avertizează dezvoltatorii să verifice dependențele npm și utilizatorii să revizuiască dispozitivele asociate în setările conturilor lor WhatsApp. Recomandările includ eliminarea pachetelor suspecte din proiecte, resetarea conexiunilor active în aplicație, activarea autentificării în doi pași și monitorizarea traficului de rețea pentru activități anormale. Cercetătorii au identificat modul de distribuţie prin pachetul publicat în registrul npm, metodologia de camuflare în cod ca funcţii legitime şi mecanismele de exfiltrare a datelor; ancheta continuă pentru a stabili autorii exacti și amploarea datelor sustrase.