Investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso en el repositorio npm. Este paquete sirve como una API de WhatsApp completamente funcional, pero también incluye la capacidad de interceptar todos los mensajes y vincular el dispositivo del atacante a la cuenta de WhatsApp de la víctima.
El paquete llamado ‘lotusbail’ se ha descargado más de 56.000 veces desde que un usuario llamado ‘seiren_primrose’ lo subió por primera vez al registro en mayo de 2025. 711 de esas descargas se produjeron en la última semana. Esta biblioteca todavía está disponible para descargar en el momento de escribir este artículo.
Disfrazándose de una herramienta funcional, el malware «roba las credenciales de WhatsApp, intercepta todos los mensajes, recopila contactos, instala una puerta trasera persistente y cifra todo antes de enviarlo a los servidores del atacante», dijo el investigador de Koi Security, Tuval Admoni, en un informe publicado durante el fin de semana.
Específicamente, tiene la capacidad de capturar tokens de autenticación y claves de sesión, historial de mensajes, listas de contactos, incluidos números de teléfono, y archivos y documentos multimedia. Más importante aún, esta biblioteca se inspira en @whiskeysockets/baileys, una biblioteca TypeScript canónica basada en WebSocket para interactuar con la API web de WhatsApp.
Esto se logra a través de un contenedor WebSocket malicioso a través del cual se enrutan las credenciales y los mensajes, lo que permite capturar las credenciales y los chats. Los datos robados se envían cifrados a una URL controlada por el atacante.
El ataque no termina ahí, ya que el paquete también contiene una función secreta que utiliza un código de emparejamiento codificado para secuestrar el proceso de vinculación del dispositivo y crear acceso permanente a la cuenta de WhatsApp de la víctima.
«Cuando usas esta biblioteca para la autenticación, no sólo estás vinculando tu aplicación, sino que también estás vinculando el dispositivo del actor de la amenaza», dijo Admoni. «Tienen acceso completo y permanente a tu cuenta de WhatsApp y no tienes idea de que están allí».
Vincular un dispositivo al WhatsApp de un objetivo no solo proporciona acceso continuo a los contactos y conversaciones, sino que también permite un acceso persistente incluso después de que el paquete se desinstale del sistema, ya que el dispositivo del actor de la amenaza permanece vinculado a la cuenta de WhatsApp hasta que se desvincula en la configuración de la aplicación.
Idan Dardikman de Koi Security dijo a The Hacker News que los desarrolladores que utilicen esta biblioteca para conectarse a WhatsApp desencadenarán actividad maliciosa.
«El malware envuelve el cliente WebSocket, por lo que una vez que se autentica y comienza a enviar y recibir mensajes, comienza a espiar», dijo Dardikman. «No se requiere ninguna funcionalidad especial más allá del uso normal de la API. El código de emparejamiento de puerta trasera también se activa durante el flujo de autenticación, por lo que el dispositivo del atacante se vincula en el momento en que conecta su aplicación a WhatsApp».
Además, «lotusail» incluye una característica anti-depuración que entrará en una trampa de bucle infinito y congelará la ejecución si se detecta una herramienta de depuración.
«Los ataques a la cadena de suministro no se están desacelerando. La situación está empeorando», afirmó Coy. «La seguridad tradicional no detecta esto. El análisis estático ve y aprueba el código de WhatsApp en funcionamiento. Nuestro sistema de reputación detecta 56.000 descargas y es confiable. El malware se esconde en la brecha entre ‘este código funciona’ y ‘este código sólo hace lo que dice hacer'».
Paquetes maliciosos de NuGet dirigidos al ecosistema criptográfico
Esta divulgación se produce después de que ReversingLabs compartiera detalles de 14 paquetes NuGet maliciosos que se hacen pasar por Nethereum, la biblioteca de integración .NET para la cadena de bloques descentralizada Ethereum. Otras herramientas relacionadas con las criptomonedas redirigen los fondos de las transacciones a billeteras controladas por atacantes o filtran claves privadas o frases iniciales si el monto de la transferencia excede los $100.
Los nombres de los paquetes publicados por ocho cuentas diferentes se enumeran a continuación.
binance.csharp bitcoincore bybitapi.net Coinbase.net.api googleads.api nbitcoin.unified nethereumnet nethereumunified netherеum.all solananet solnetall solnetall.net solnetplus solnetunified
Estos paquetes utilizaban varias técnicas para adormecer a los usuarios con una falsa sensación de seguridad, incluida la inflación del número de descargas y la publicación de docenas de nuevas versiones en un corto período de tiempo para dar la impresión de que se mantenían activamente. Esta campaña es retroactiva a julio de 2025.
El desarrollador inyecta la funcionalidad maliciosa de tal manera que se activa solo cuando el paquete está instalado y la funcionalidad específica está integrada en otras aplicaciones. Entre los paquetes destaca GoogleAds.API. Se centra en robar información de Google Ads OAuth en lugar de filtrar los secretos de los datos de la billetera.
«Estos valores son muy sensibles ya que permiten un acceso programático completo a las cuentas de Google Ads. Una vez filtrados, un atacante podría hacerse pasar por el cliente publicitario de la víctima, leer todos los datos de campaña y rendimiento, crear o modificar anuncios y gastar fondos ilimitados en campañas maliciosas o fraudulentas», dijo ReversingLabs.
Source link
