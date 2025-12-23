Tecno

Investigadores de ciberseguridad detectan paquete falso de WhatsApp en npm que roba mensajes y contactos

El npm es un sistema de gestión de paquetes para JavaScript que permite instalar, compartir y administrar librerías y herramientas de software en proyectos de desarrollo

Guardar
El paquete ‘lotusbail’ fue presentado
El paquete ‘lotusbail’ fue presentado como una API funcional para interactuar con WhatsApp. (Imagen ilustrativa Infobae)

Investigadores de ciberseguridad han identificado un nuevo paquete malicioso en el repositorio npm que, bajo la apariencia de una API legítima de WhatsApp, roba mensajes, contactos y credenciales de los usuarios. El paquete, conocido como ‘lotusbail’, ha sido descargado miles de veces, lo que ha permitido a los atacantes acceder de manera persistente a cuentas de WhatsApp sin que las víctimas lo noten.

Paquete malicioso en npm: robo de mensajes y contactos en WhatsApp

El paquete ‘lotusbail’, subido por el usuario ‘seiren_primrose’ al repositorio npm en mayo de 2025, fue presentado como una API funcional para interactuar con WhatsApp, pero en realidad oculta capacidades para interceptar mensajes y vincular dispositivos de los atacantes a cuentas de WhatsApp ajenas.

Con más de 56.000 descargas acumuladas y 711 en la última semana, la biblioteca sigue disponible para descarga, lo que incrementa el riesgo para nuevos usuarios.

El npm facilita la gestión
El npm facilita la gestión de librerías y tareas en desarrollo JavaScript mediante su CLI y registro de paquetes. (Imagen ilustrativa Infobae)

La investigación de Koi Security, liderada por Tuval Admoni, detalla que el malware “roba tus credenciales de WhatsApp, intercepta cada mensaje, recopila tus contactos, instala una puerta trasera persistente y encripta todo antes de enviarlo al servidor del actor de la amenaza”.

La herramienta está diseñada para capturar información sensible como tokens de autenticación, claves de sesión, historiales de mensajes, listas de contactos y archivos multimedia. La funcionalidad se inspira en la biblioteca legítima @whiskeysockets/baileys, pero introduce un contenedor WebSocket malicioso que redirige la información interceptada hacia los servidores de los atacantes.

El investigador señaló que “al usar esta biblioteca para autenticar, no solo vinculas tu aplicación, sino también el dispositivo del atacante”. Este mecanismo permite a los ciberdelincuentes mantener un acceso completo y persistente a la cuenta de WhatsApp de la víctima, incluso después de que el software malicioso se haya eliminado del sistema.

Para desvincular el acceso del atacante, es necesario acceder a la configuración de WhatsApp y eliminar manualmente el dispositivo no autorizado.

La activación del paquete malicioso
La activación del paquete malicioso ocurre cuando un desarrollador utiliza la biblioteca para conectar su aplicación a WhatsApp. (Imagen ilustrativa Infobae)

Funcionamiento del malware y persistencia en cuentas de WhatsApp

La activación del paquete malicioso ocurre cuando un desarrollador utiliza la biblioteca para conectar su aplicación a WhatsApp. Idan Dardikman de Koi Security dijo a The Hacker News que el malware envuelve el cliente WebSocket, por lo que, una vez que te autenticas y empiezas a enviar/recibir mensajes, se activa la intercepción.

Es pertinente señalar que este proceso no requiere acciones adicionales más allá del uso normal de la API, lo que facilita que pase inadvertido entre los usuarios.

El código de emparejamiento de la puerta trasera se activa durante la autenticación, lo que vincula automáticamente el dispositivo del atacante a la cuenta de WhatsApp objetivo. Así, los atacantes obtienen acceso a conversaciones, contactos y archivos, manteniéndose conectados incluso si el usuario desinstala el paquete malicioso.

El paquete ‘lotusbail’, subido por
El paquete ‘lotusbail’, subido por el usuario ‘seiren_primrose’ al repositorio npm en mayo de 2025, fue presentado como una API funcional para interactuar con WhatsApp. (Imagen ilustrativa Infobae)

El diseño del malware incluye capacidades anti-depuración que provocan un bucle infinito al detectar herramientas de análisis, dificultando la tarea de los expertos en seguridad para examinar su funcionamiento.

Desde Koi Security advierten que “los ataques a la cadena de suministro no están disminuyendo, sino mejorando”. El análisis estático tradicional y los sistemas de reputación, que se basan en el funcionamiento aparente del código y la cantidad de descargas, no logran identificar la amenaza oculta. Esta situación permite que el malware se camufle entre herramientas legítimas y pase desapercibido durante largos periodos.

Amenazas similares en otros ecosistemas: paquetes NuGet maliciosos en criptomonedas

La detección del paquete ‘lotusbail’ coincide con la revelación de otras campañas de malware dirigidas a desarrolladores y usuarios de bibliotecas populares. ReversingLabs compartió detalles sobre 14 paquetes NuGet maliciosos que suplantan a Nethereum y otras herramientas relacionadas con criptomonedas en el entorno .NET.

Un paquete fraudulento de API
Un paquete fraudulento de API de WhatsApp disponible en npm sustrae mensajes, listas de contactos y credenciales de acceso. (Imagen ilustrativa Infobae)

Estos paquetes han sido diseñados para redirigir fondos de transacciones a billeteras controladas por los atacantes o para extraer claves privadas y frases semilla cuando las transferencias superan los 100 dólares estadounidenses.

Entre los nombres identificados se encuentran “binance.csharp”, “Bitcoin Core”, “bitapi.net”, “API de coinbase.net”, “googleads.api”, “nbitcoin.unificado”, “nethereumnet”, “nethereumunificado”, “nethereum.all”, “solananet”, “solnetall”, “solnetall.net”, “solnetplus” y “solnetunificado”.

Los responsables de estos paquetes han utilizado tácticas para generar una falsa sensación de seguridad, como inflar el número de descargas y publicar actualizaciones constantes para simular actividad legítima. Esta campaña maliciosa tiene su origen en julio de 2025.

Temas Relacionados

WhatsAppCiberseguridadDesarrolladoresAPILo último en tecnologíatecnología-noticias

Últimas Noticias

El fin de la luz LED: cómo es la nueva tecnología de iluminación que ahorra energía

La integración de materiales ultradelgados inaugura una nueva etapa de innovación en muebles, arquitectura y dispositivos, con beneficios en eficiencia y experiencias sensoriales que transforman la vida diaria

El fin de la luz

Los 10 regalos de tecnología que nunca debes dar en Navidad

Un celular que no reciba Android 16 o iOS 26 supone un riesgo, al quedar sin parches de seguridad ni nuevas funciones

Los 10 regalos de tecnología

Las 5 mejores papas navideñas para la cena de Nochebuena, según la IA: incluye gratinadas

Las papas gratinadas, al horno y en puré se mantienen como clásicos infaltables en las mesas navideñas.

Las 5 mejores papas navideñas

Android Auto vuelve a renovarse con funciones que amarás en tu vehículo

El rediseño responde al lenguaje visual Material 3 y busca unificar la estética del sistema con el resto del ecosistema Android

Android Auto vuelve a renovarse

Pantallas que se ven en 3D sin gafas: todo sobre los nuevos monitores 6K

Gracias a las recientes innovaciones, la nueva generación prioriza profundidad física y respuesta visual inmediata en entornos profesionales y domésticos

Pantallas que se ven en
DEPORTES
La explosiva relación entre una

La explosiva relación entre una promesa del fútbol americano y una estrella del cine erótico que encendió el debate

Conmoción en el mundo del deporte: encontraron muerto en un hotel al biatleta Sivert Bakken, de 27 años

Fue campeón con Racing y rechazó una oferta de River Plate para jugar con Messi en el Inter Miami

Por qué el piloto de Red Bull Mattia Colnaghi tramita la licencia argentina: su decisión y el plan para llegar a la F1

Revelaron la razón detrás del vuelo en el que murieron la leyenda del NASCAR Greg Biffle y su familia: “Una tragedia absoluta”

TELESHOW
La sorpresa de Flavio Mendoza

La sorpresa de Flavio Mendoza a su hijo antes de Navidad: “¡Al Polo Norte!”

El primer viaje de novios de Fede Bal y Evelyn Botto: teatro, música en vivo y la magia de Nueva York

Luisana Lopilato celebró el Pancake Day en la escuela de Noah: fotos, anécdotas y tradición familiar

La regla que rige en la Ciudad de Buenos Aires y traba la salida de Mauro Icardi del registro de deudores alimentarios

Santiago del Moro adelantó un particular cambio adentro de la casa de Gran Hermano: “Gracias por tanto”

INFOBAE AMÉRICA

Los 20 ebooks más vendidos

Los 20 ebooks más vendidos en BajaLibros en 2025

El cobre marcó un nuevo récord histórico por encima de los 12.000 dólares la tonelada

La confianza del consumidor en Estados Unidos cayó a su nivel más bajo desde que Trump anunció los aranceles

Violentas protestas en Bolivia por el retiro del subsidio a los combustibles dejaron al menos cuatro policías heridos

Egipto impulsa su primer tren de alta velocidad para conectar el mar Rojo y el Mediterráneo en apenas tres horas