Investigadores de ciberseguridad han identificado un nuevo paquete malicioso en el repositorio npm que, bajo la apariencia de una API legítima de WhatsApp, roba mensajes, contactos y credenciales de los usuarios. El paquete, conocido como ‘lotusbail’, ha sido descargado miles de veces, lo que ha permitido a los atacantes acceder de manera persistente a cuentas de WhatsApp sin que las víctimas lo noten.
Paquete malicioso en npm: robo de mensajes y contactos en WhatsApp
El paquete ‘lotusbail’, subido por el usuario ‘seiren_primrose’ al repositorio npm en mayo de 2025, fue presentado como una API funcional para interactuar con WhatsApp, pero en realidad oculta capacidades para interceptar mensajes y vincular dispositivos de los atacantes a cuentas de WhatsApp ajenas.
Con más de 56.000 descargas acumuladas y 711 en la última semana, la biblioteca sigue disponible para descarga, lo que incrementa el riesgo para nuevos usuarios.
La investigación de Koi Security, liderada por Tuval Admoni, detalla que el malware “roba tus credenciales de WhatsApp, intercepta cada mensaje, recopila tus contactos, instala una puerta trasera persistente y encripta todo antes de enviarlo al servidor del actor de la amenaza”.
La herramienta está diseñada para capturar información sensible como tokens de autenticación, claves de sesión, historiales de mensajes, listas de contactos y archivos multimedia. La funcionalidad se inspira en la biblioteca legítima @whiskeysockets/baileys, pero introduce un contenedor WebSocket malicioso que redirige la información interceptada hacia los servidores de los atacantes.
El investigador señaló que “al usar esta biblioteca para autenticar, no solo vinculas tu aplicación, sino también el dispositivo del atacante”. Este mecanismo permite a los ciberdelincuentes mantener un acceso completo y persistente a la cuenta de WhatsApp de la víctima, incluso después de que el software malicioso se haya eliminado del sistema.
Para desvincular el acceso del atacante, es necesario acceder a la configuración de WhatsApp y eliminar manualmente el dispositivo no autorizado.
Funcionamiento del malware y persistencia en cuentas de WhatsApp
La activación del paquete malicioso ocurre cuando un desarrollador utiliza la biblioteca para conectar su aplicación a WhatsApp. Idan Dardikman de Koi Security dijo a The Hacker News que el malware envuelve el cliente WebSocket, por lo que, una vez que te autenticas y empiezas a enviar/recibir mensajes, se activa la intercepción.
Es pertinente señalar que este proceso no requiere acciones adicionales más allá del uso normal de la API, lo que facilita que pase inadvertido entre los usuarios.
El código de emparejamiento de la puerta trasera se activa durante la autenticación, lo que vincula automáticamente el dispositivo del atacante a la cuenta de WhatsApp objetivo. Así, los atacantes obtienen acceso a conversaciones, contactos y archivos, manteniéndose conectados incluso si el usuario desinstala el paquete malicioso.
El diseño del malware incluye capacidades anti-depuración que provocan un bucle infinito al detectar herramientas de análisis, dificultando la tarea de los expertos en seguridad para examinar su funcionamiento.
Desde Koi Security advierten que “los ataques a la cadena de suministro no están disminuyendo, sino mejorando”. El análisis estático tradicional y los sistemas de reputación, que se basan en el funcionamiento aparente del código y la cantidad de descargas, no logran identificar la amenaza oculta. Esta situación permite que el malware se camufle entre herramientas legítimas y pase desapercibido durante largos periodos.
Amenazas similares en otros ecosistemas: paquetes NuGet maliciosos en criptomonedas
La detección del paquete ‘lotusbail’ coincide con la revelación de otras campañas de malware dirigidas a desarrolladores y usuarios de bibliotecas populares. ReversingLabs compartió detalles sobre 14 paquetes NuGet maliciosos que suplantan a Nethereum y otras herramientas relacionadas con criptomonedas en el entorno .NET.
Estos paquetes han sido diseñados para redirigir fondos de transacciones a billeteras controladas por los atacantes o para extraer claves privadas y frases semilla cuando las transferencias superan los 100 dólares estadounidenses.
Entre los nombres identificados se encuentran “binance.csharp”, “Bitcoin Core”, “bitapi.net”, “API de coinbase.net”, “googleads.api”, “nbitcoin.unificado”, “nethereumnet”, “nethereumunificado”, “nethereum.all”, “solananet”, “solnetall”, “solnetall.net”, “solnetplus” y “solnetunificado”.
Los responsables de estos paquetes han utilizado tácticas para generar una falsa sensación de seguridad, como inflar el número de descargas y publicar actualizaciones constantes para simular actividad legítima. Esta campaña maliciosa tiene su origen en julio de 2025.
Últimas Noticias
OpenAI admite que su navegador de ChatGPT no está 100% protegido de ciberataques
La preocupación por el acceso excesivo y los dilemas éticos en la automatización crece entre profesionales del sector
Lista de 200 frases de Feliz Navidad para enviar por WhatsApp, Instagram y más: son cortos y especiales
Algunas opciones de mensajes son “que la paz sea tu mejor regalo”, “que esta Navidad sea inolvidable” o “que el amor se quede todo el año”
El fin de la luz LED: cómo es la nueva tecnología de iluminación que ahorra energía
La integración de materiales ultradelgados inaugura una nueva etapa de innovación en muebles, arquitectura y dispositivos, con beneficios en eficiencia y experiencias sensoriales que transforman la vida diaria
Los 10 regalos de tecnología que nunca debes dar en Navidad
Un celular que no reciba Android 16 o iOS 26 supone un riesgo, al quedar sin parches de seguridad ni nuevas funciones
Las 5 mejores papas navideñas para la cena de Nochebuena, según la IA: incluye gratinadas
Las papas gratinadas, al horno y en puré se mantienen como clásicos infaltables en las mesas navideñas.
