24 de diciembre de 2025

Paquete malicioso en npm roba mensajes y credenciales de WhatsApp Web

Paquete malicioso en npm roba mensajes y credenciales de WhatsApp Web

Un paquete malicioso publicado en npm, denominado lotusbail, fue identificado como una amenaza activa de cadena de suministro, al presentarse como una API funcional para WhatsApp Web mientras robaba mensajes, contactos y tokens de autenticación. Desde mayo de 2025, el paquete acumuló más de 56.000 descargas, exponiendo a miles de desarrolladores y usuarios finales.

Detalles técnicos del malware

El paquete lotusbail es un fork troyanizado de la biblioteca legítima @whiskeysockets/baileys, ampliamente utilizada para integrar WhatsApp Web mediante WebSocket.

A nivel funcional, el paquete opera correctamente, enviando y recibiendo mensajes, lo que reduce la probabilidad de detección temprana. Sin embargo, en segundo plano:

  • Intercepta credenciales de autenticación durante el proceso de login.

  • Captura chats completos, listas de contactos y archivos multimedia.

  • Extrae tokens de sesión reutilizables.

La información robada es protegida antes de su exfiltración mediante un esquema de cifrado y ofuscación en múltiples capas, que incluye:

  • Cifrado RSA personalizado.

  • Ofuscación Unicode.

  • Compresión LZString.

  • Codificación Base-91.

  • Cifrado adicional con AES.

El malware incorpora además mecanismos anti-debugging, dificultando el análisis dinámico y la detección por herramientas de seguridad tradicionales.

Persistencia y alcance del compromiso

Uno de los aspectos más críticos del ataque es su persistencia. Durante la autenticación, el malware vincula un dispositivo controlado por el atacante a la cuenta de WhatsApp de la víctima, habilitando acceso continuo a los mensajes incluso después de que el paquete sea eliminado del entorno comprometido.

Indicadores de actividad relevantes:

  • 711 descargas en la última semana, lo que confirma que la campaña sigue activa.

  • Actualizaciones recientes del paquete, sugiriendo mantenimiento activo por parte del atacante.

Este caso evidencia cómo paquetes completamente funcionales pueden evadir sistemas de reputación y análisis estático en repositorios abiertos, reforzando el riesgo sistémico de los ataques a la cadena de suministro en JavaScript.

Recomendaciones para desarrolladores y usuarios

Dado que el paquete aún no ha sido retirado del repositorio, se recomiendan las siguientes acciones inmediatas:

Para desarrolladores

  • Auditar dependencias npm mediante análisis dinámico, no solo estático.

  • Revisar el código en busca de:

    • Uso innecesario de RSA o cifrado personalizado.

    • Wrappers WebSocket que intercepten tráfico.

    • Rutinas de ofuscación complejas sin justificación funcional.

  • Priorizar bibliotecas con alta reputación comunitaria y mantenimiento activo.

Para usuarios afectados

  • Revisar los dispositivos vinculados en WhatsApp:
    Ajustes → Dispositivos vinculados.

  • Eliminar cualquier dispositivo no reconocido.

  • Rotar credenciales y monitorear accesos sospechosos.

El incidente subraya la necesidad de controles más estrictos en ecosistemas de paquetes abiertos y de una postura de seguridad proactiva en proyectos que dependen de bibliotecas de terceros.

Fuente: https://www.csoonline.com/article/4111068/whatsapp-api-worked-exactly-as-promised-and-stole-everything.html
← Anterior EE.UU. incauta dominio usado en fraude b...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Vulnerabilidad crítica en n8n permite ejecución remota de código en miles de instancias
EE.UU. incauta dominio usado en fraude bancario basado en anuncios maliciosos
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio