Se ha detectado un paquete malicioso en el registro de Node Package Manager (NPM) que se hace pasar por una biblioteca legítima de WhatsApp Web API, cuando en realidad está diseñado para robar mensajes de WhatsApp, recopilar contactos y obtener acceso no autorizado a las cuentas.
Esta amenaza representa un riesgo crítico tanto para desarrolladores como para empresas que integran este tipo de librerías en sus aplicaciones. El paquete, identificado como una bifurcación del proyecto open source WhiskeySockets Baileys, ofrece funcionalidades aparentemente legítimas, lo que le permitió operar sin ser detectado durante meses.
Publicado en NPM bajo el nombre lotusbail, estuvo disponible por al menos seis meses y acumuló más de 56.000 descargas, ampliando significativamente el alcance y el impacto potencial de esta amenaza, una situación ante la cual en TecnetOne recomendamos reforzar las estrategias de seguridad y control de dependencias en los entornos de desarrollo.
Paquete lotusbail en NPM (Fuente: BleepingComputer)
Los investigadores de Koi Security, identificaron el paquete malicioso y confirmaron que era capaz de robar tokens de autenticación y claves de sesión de WhatsApp, además de interceptar y registrar todos los mensajes, tanto entrantes como salientes. El análisis también reveló la exfiltración de listas de contactos, archivos multimedia y documentos, ampliando el impacto de la amenaza sobre la información sensible de los usuarios.
Según los investigadores, el paquete envuelve el cliente WebSocket legítimo utilizado para la comunicación con WhatsApp, lo que le permite posicionarse como intermediario de todo el tráfico. De esta forma, cada mensaje que circula por la aplicación pasa primero por la capa maliciosa, facilitando la captura de credenciales durante el proceso de autenticación, la interceptación de mensajes recibidos y el registro de los mensajes enviados, todo sin generar alertas visibles para el usuario.
Código para capturar datos (Fuente: Koi Security)
La información que el paquete logra capturar no se envía en texto plano. Antes de salir del sistema, los datos pasan por varias capas de cifrado y ofuscación, combinando técnicas como cifrado RSA personalizado, trucos con caracteres Unicode, compresión y cifrado AES. Todo esto tiene un objetivo claro: dificultar la detección y el análisis del robo de información.
Pero el problema no termina ahí. Además de robar datos, el paquete malicioso incluye código que vincula el dispositivo del atacante a la cuenta de WhatsApp de la víctima mediante el proceso normal de emparejamiento de dispositivos. Esto le permite al atacante mantener acceso persistente a la cuenta, incluso si el paquete NPM ya fue eliminado del proyecto.
En la práctica, el acceso solo se pierde cuando la víctima revisa manualmente la configuración de WhatsApp y elimina los dispositivos vinculados que no reconoce, algo que muchas personas no suelen comprobar con frecuencia.
Para mantenerse oculto durante tanto tiempo, el paquete utiliza múltiples técnicas diseñadas para complicar la depuración, como trampas de bucles infinitos que dificultan el análisis del comportamiento real del código. Este tipo de mecanismos ayuda a explicar por qué la amenaza logró pasar desapercibida durante meses.
Podría interesarte leer: DroidLock: Nuevo Malware Bloquea tu Teléfono y Exige un Rescate
Ante este escenario, desde TecnetOne la recomendación para los desarrolladores es clara: eliminar inmediatamente el paquete del entorno, verificar si existen dispositivos vinculados no autorizados en la cuenta de WhatsApp y extremar las precauciones al incorporar nuevas dependencias en los proyectos.
Más allá de una revisión superficial del código fuente, resulta clave analizar el comportamiento real de las librerías en tiempo de ejecución. Monitorear conexiones salientes inesperadas, procesos que se activan durante la autenticación o comportamientos anómalos en tiempo real puede marcar la diferencia para detectar este tipo de amenazas a tiempo y evitar un impacto mayor, una práctica fundamental dentro de una estrategia de ciberseguridad sólida como la que promovemos en TecnetOne.