Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Malware en npm roba mensajes y cuentas de WhatsApp
Noticias

Malware en npm roba mensajes y cuentas de WhatsApp

por Dragora
Escrito por Dragora

Investigadores en ciberseguridad han descubierto un nuevo paquete malicioso en el repositorio npm que representa una amenaza crítica para desarrolladores y organizaciones que integran WhatsApp en sus aplicaciones. El paquete, denominado “lotusbail”, se presenta como una API de WhatsApp completamente funcional, pero oculta capacidades avanzadas de espionaje, robo de credenciales y secuestro persistente de cuentas.

Desde su publicación inicial en mayo de 2025 por un usuario identificado como “seiren_primrose”, el paquete ha sido descargado más de 56.000 veces, lo que evidencia el alto impacto potencial de este ataque a la cadena de suministro de software. Tan solo en la última semana se registraron 711 descargas, y al momento de la divulgación la biblioteca seguía disponible en el registro npm, aumentando el riesgo de nuevas infecciones.

Una API funcional que oculta un spyware avanzado

Según un informe publicado por Koi Security, el paquete lotusbail funciona como una herramienta legítima, lo que le permite evadir controles básicos de seguridad y revisiones superficiales de código. Sin embargo, bajo esa apariencia inofensiva, el malware ejecuta múltiples acciones maliciosas de alto impacto.

“El paquete roba tus credenciales de WhatsApp, intercepta todos los mensajes, recolecta tus contactos, instala una puerta trasera persistente y cifra toda la información antes de enviarla al servidor del actor amenazante”, explicó Tuval Admoni, investigador de Koi Security.

Entre los datos comprometidos se incluyen:

  • Tokens de autenticación y claves de sesión

  • Historial completo de mensajes

  • Listas de contactos con números de teléfono

  • Archivos multimedia y documentos compartidos

Este nivel de acceso convierte a lotusbail en una herramienta de vigilancia total, capaz de comprometer tanto cuentas personales como corporativas de WhatsApp.

Inspirado en una biblioteca legítima de WhatsApp

Uno de los aspectos más preocupantes de este ataque es que lotusbail está inspirado directamente en @whiskeysockets/baileys, una biblioteca legítima escrita en TypeScript que permite interactuar con la API web de WhatsApp mediante WebSockets.

El malware implementa un envoltorio WebSocket malicioso, a través del cual se enruta toda la información de autenticación y los mensajes. De esta forma, cada interacción con WhatsApp pasa primero por el código controlado por el atacante, permitiéndole capturar credenciales, chats y metadatos en tiempo real.

Los datos robados son cifrados y exfiltrados a una URL bajo control del actor malicioso, lo que dificulta su detección mediante inspección de tráfico tradicional.

Secuestro persistente mediante el enlace de dispositivos

El ataque no se limita al espionaje de mensajes. Lotusbail también incorpora una funcionalidad encubierta para crear acceso persistente a la cuenta de WhatsApp de la víctima, incluso después de que el paquete haya sido eliminado del sistema.

Esto se logra mediante el secuestro del proceso de vinculación de dispositivos, utilizando un código de emparejamiento codificado de forma fija. Cuando el desarrollador autentica su aplicación con WhatsApp usando la biblioteca, no solo se enlaza su propio cliente, sino también el dispositivo del atacante.

“Cuando usas esta biblioteca, no solo enlazas tu aplicación, sino también el dispositivo del actor de la amenaza”, explicó Admoni. “Obtienen acceso completo y persistente a tu cuenta de WhatsApp, sin que tengas ninguna visibilidad de ello.”

Mientras el dispositivo del atacante permanezca vinculado, el acceso continúa incluso si la biblioteca se desinstala, a menos que la víctima revise manualmente la configuración de WhatsApp y desvincule dispositivos desconocidos.

Activación automática y técnicas antidepuración

Idan Dardikman, también de Koi Security, explicó que la actividad maliciosa se activa automáticamente cuando el desarrollador utiliza la biblioteca de forma normal.

“El malware envuelve el cliente WebSocket. En cuanto te autenticas y comienzas a enviar o recibir mensajes, la intercepción entra en funcionamiento”, señaló. “No se necesita ninguna función especial más allá del uso normal de la API.”

Además, lotusbail incorpora técnicas antidepuración diseñadas para frustrar el análisis de seguridad. Cuando detecta herramientas de depuración, el código entra en un bucle infinito, congelando la ejecución y ocultando su comportamiento real.

Ataques a la cadena de suministro cada vez más sofisticados

Este caso refuerza una tendencia preocupante. “Los ataques a la cadena de suministro no están disminuyendo, están mejorando”, advirtió Koi Security. El problema radica en que:

  • El análisis estático ve una API funcional y la aprueba

  • Los sistemas de reputación confían en el número de descargas

  • El malware se esconde entre “el código funciona” y “el código solo hace lo que promete”

Este vacío es explotado sistemáticamente por actores maliciosos en ecosistemas de desarrollo populares como npm y NuGet.

Paquetes NuGet maliciosos atacan el ecosistema cripto

En paralelo, ReversingLabs reveló una campaña relacionada que involucra 14 paquetes NuGet maliciosos diseñados para hacerse pasar por Nethereum y otras bibliotecas vinculadas al ecosistema de criptomonedas.

Estos paquetes redirigen fondos de transacciones a monederos controlados por atacantes cuando los importes superan los 100 dólares, o bien exfiltran claves privadas y frases semilla, comprometiendo por completo los activos digitales de las víctimas.

Entre los paquetes identificados se encuentran:

  • binance.csharp

  • bitcoincore

  • bybitapi.net

  • coinbase.net.api

  • googleads.api

  • nethereumunified

  • solananet

  • solnetplus

  • solnetunified
    (entre otros)

Algunos de ellos, como GoogleAds.API, están diseñados específicamente para robar credenciales OAuth de Google Ads, lo que permitiría a los atacantes control total de cuentas publicitarias, acceso a datos sensibles y gasto ilimitado de fondos.

Una llamada de atención para desarrolladores y empresas

Estos hallazgos subrayan una realidad crítica: confiar únicamente en la popularidad o funcionalidad de un paquete ya no es suficiente. Los ataques a la cadena de suministro se han convertido en una de las principales vías de compromiso, afectando desde mensajería corporativa hasta finanzas descentralizadas.

La verificación de dependencias, el uso de análisis de comportamiento, el monitoreo de tráfico saliente y la revisión continua de dispositivos vinculados son medidas esenciales para mitigar riesgos en un ecosistema cada vez más hostil.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!