El npm es un sistema de gestión de paquetes para JavaScript
que permite instalar, compartir y administrar librerías y herramientas de
software en proyectos de desarrollo
Investigadores
de ciberseguridad han
identificado un nuevo paquete malicioso en el repositorio npm que, bajo la
apariencia de una API legítima de WhatsApp,
roba mensajes, contactos y credenciales de los usuarios. El paquete, conocido
como ‘lotusbail’, ha sido descargado miles de veces, lo que ha permitido a los
atacantes acceder de manera persistente a cuentas de WhatsApp sin que las
víctimas lo noten.
Paquete malicioso en npm: robo de mensajes y contactos en
WhatsApp
El paquete ‘lotusbail’, subido por el usuario
‘seiren_primrose’ al repositorio npm en mayo de 2025, fue presentado como una
API funcional para interactuar con WhatsApp, pero en realidad
oculta capacidades para interceptar mensajes y vincular dispositivos de los
atacantes a cuentas de WhatsApp ajenas.
Con más de 56.000 descargas acumuladas y 711 en la última
semana, la biblioteca sigue disponible para descarga, lo que incrementa el
riesgo para nuevos usuarios.
La investigación de Koi Security, liderada por Tuval Admoni,
detalla que el malware “roba tus credenciales de WhatsApp, intercepta cada
mensaje, recopila tus contactos, instala una puerta trasera persistente y
encripta todo antes de enviarlo al servidor del actor de la amenaza”.
La herramienta está diseñada para capturar información
sensible como tokens de autenticación, claves de sesión, historiales de
mensajes, listas de contactos y archivos multimedia. La funcionalidad
se inspira en la biblioteca legítima @whiskeysockets/baileys, pero introduce un
contenedor WebSocket malicioso que redirige la información
interceptada hacia los servidores de los atacantes.
El investigador señaló que “al usar esta biblioteca para
autenticar, no solo vinculas tu aplicación, sino también el dispositivo del
atacante”. Este mecanismo permite a los ciberdelincuentes mantener un acceso
completo y persistente a la cuenta de WhatsApp de la víctima, incluso después
de que el software malicioso se haya eliminado del sistema.
Para desvincular el acceso del atacante, es necesario
acceder a la configuración de WhatsApp y eliminar manualmente el dispositivo no
autorizado.
Funcionamiento del malware y persistencia en cuentas de
WhatsApp
La activación del paquete malicioso ocurre cuando un desarrollador utiliza
la biblioteca para conectar su aplicación a WhatsApp. Idan Dardikman de Koi
Security dijo a The Hacker News que el malware envuelve el cliente WebSocket,
por lo que, una vez que te autenticas y empiezas a enviar/recibir mensajes, se
activa la intercepción.
Es pertinente señalar que este proceso no requiere acciones
adicionales más allá del uso normal de la API, lo que facilita que pase
inadvertido entre los usuarios.
El código de emparejamiento de la puerta trasera se activa
durante la autenticación, lo que vincula automáticamente el dispositivo del
atacante a la cuenta de WhatsApp objetivo. Así, los atacantes obtienen acceso a
conversaciones, contactos y archivos, manteniéndose conectados incluso si el
usuario desinstala el paquete malicioso.
El diseño del malware incluye capacidades anti-depuración
que provocan un bucle infinito al detectar herramientas de análisis,
dificultando la tarea de los expertos en seguridad para examinar -su
funcionamiento.
Desde Koi Security advierten que “los ataques a la cadena de
suministro no están disminuyendo, sino mejorando”. El análisis estático
tradicional y los sistemas de reputación, que se basan en el funcionamiento
aparente del código y la cantidad de descargas, no logran identificar la
amenaza oculta. Esta situación permite que el malware se camufle entre
herramientas legítimas y pase desapercibido durante largos periodos.
Amenazas similares en otros ecosistemas: paquetes NuGet
maliciosos en criptomonedas
La detección del paquete ‘lotusbail’ coincide con la
revelación de otras campañas de malware dirigidas a desarrolladores y usuarios
de bibliotecas populares. ReversingLabs compartió detalles sobre 14
paquetes NuGet maliciosos que suplantan a Nethereum y otras
herramientas relacionadas con criptomonedas en el entorno .NET. Un paquete
fraudulento de API de WhatsApp disponible en npm sustrae mensajes, listas de
contactos y credenciales de acceso. (Imagen ilustrativa Infobae)
Estos paquetes han sido diseñados para redirigir fondos de
transacciones a billeteras controladas por los atacantes o para extraer claves
privadas y frases semilla cuando las transferencias superan los 100 dólares
estadounidenses.
Entre los nombres identificados se encuentran
“binance.csharp”, “Bitcoin Core”, “bitapi.net”, “API de coinbase.net”,
“googleads.api”, “nbitcoin.unificado”, “nethereumnet”, “nethereumunificado”,
“nethereum.all”, “solananet”, “solnetall”, “solnetall.net”, “solnetplus” y
“solnetunificado”.
Los responsables de estos paquetes han utilizado tácticas
para generar una falsa sensación de seguridad, como inflar el número de
descargas y publicar actualizaciones constantes para simular
actividad legítima. Esta campaña maliciosa tiene su origen en julio de 2025.
Fuente de la Información
https://www.infobae.com/tecno/2025/12/23/investigadores-de-ciberseguridad-detectan-paquete-falso-de-whatsapp-en-npm-que-roba-mensajes-y-contactos/
