Identifican un paquete npm malicioso para WhatsApp con 56.000 descargas que permite acceder a cuentas y robar mensajes

La utilización de una variante maliciosa del proceso de vinculación de dispositivos representa uno de los riesgos más recientes para los usuarios de WhatsApp Web, de acuerdo con la compañía Koi Security, responsable de identificar un paquete nocivo en el sistema Node Package Manager (npm). Según detalló este grupo de expertos, el paquete comprometido ha conseguido ya 56.000 descargas, permitiendo a los atacantes asociar un nuevo dispositivo a la cuenta de WhatsApp de sus víctimas, obteniendo así acceso pleno y sin que estos adviertan la intrusión. El hallazgo fue comunicado tras detectar que el programa malicioso, bajo el nombre 'lotusbail', se hacía pasar por una biblioteca legítima de la API de WhatsApp Web.

El medio de comunicación consignó que npm es un administrador de paquetes utilizado ampliamente por desarrolladores de JavaScript para incorporar funciones adicionales en sus proyectos. A través de este sistema, el paquete fraudulento logró distribuirse con una apariencia legítima, al tratarse de una bifurcación del proyecto original WhiskeySockets Baileys. Esta herramienta, legítimamente, permite crear bots o automatizar acciones en la versión web de WhatsApp, atrayendo así a desarrolladores interesados en estas funcionalidades. Sin embargo, el paquete 'lotusbail' incorpora código malicioso capaz de interceptar mensajes, archivos multimedia, contactos y claves de acceso.

De acuerdo con la descripción de los expertos citados, el software manipula el tráfico del cliente 'WebSocket', herramienta clave para la comunicación entre WhatsApp Web y los usuarios. Cuando una persona se autentica, el sistema captura automáticamente sus credenciales. Además, la aplicación permite a los atacantes leer todos los mensajes entrantes y salientes, ya que reciben una copia sin interrumpir la función original. Según especificó Koi Security: "La funcionalidad legítima continúa funcionando con normalidad; el 'malware' simplemente añade un segundo destinatario para todo".

El paquete malicioso también dispone de un mecanismo de cifrado RSA personalizado que asegura que los datos interceptados, incluidos mensajes y archivos como fotos, vídeos o audios, salgan de los dispositivos cifrados, dificultando así su detección mediante la monitorización convencional de la red, de acuerdo con el informe presentado. La estrategia implica una exfiltración encubierta de la información sensible y la posibilidad de que los atacantes controlen remotamente las cuentas de los afectados.

Otra de las capacidades destacadas de 'lotusbail' reside en la manipulación del proceso interno de emparejamiento de dispositivos en WhatsApp Web. El código solicita a los usuarios la generación de una cadena aleatoria de ocho caracteres, que posteriormente se introduce en un nuevo dispositivo. A través de este código, el atacante logra asociar su propio terminal con la cuenta de la víctima, perpetuando el acceso clandestino incluso después de desinstalar el paquete malicioso, ya que no se produce la desvinculación automática.

El medio citado informó que este paquete permaneció activo aproximadamente durante seis meses antes de su detección. Los expertos recomiendan a los desarrolladores que implementan paquetes de npm observar atentamente cómo se comporta la plataforma en tiempo real, buscando señales de actividad inesperada. Koi Security subrayó la importancia de analizar detenidamente los dispositivos vinculados a la cuenta de WhatsApp, ya que sólo desvinculando estos dispositivos desconocidos desde la sección de 'Ajustes' en la aplicación es posible revocar completamente el acceso de actores externos.

Finalmente, la investigación indica que, aunque la simple eliminación o desinstalación del paquete npm riesgoso borra el código malicioso del entorno de desarrollo, no elimina el emparejamiento previamente realizado entre la cuenta de WhatsApp del usuario y el dispositivo del atacante. Como consecuencia, se recomienda efectuar ambas acciones: la eliminación del paquete y la revisión manual de los dispositivos asociados para evitar accesos no autorizados.