Investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso en el repositorio npm que actúa como una API de WhatsApp completamente funcional, pero que también ofrece la capacidad de interceptar cualquier mensaje y vincular el dispositivo del atacante a la cuenta de WhatsApp de la víctima.
El paquete, llamado “lotusbail”, se ha descargado más de 56.000 veces desde que un usuario llamado “seiren_primrose” lo subió por primera vez al registro en mayo de 2025. De ellas, 711 descargas se produjeron en la última semana. La biblioteca permanece disponible para descargar en el momento de escribir este artículo.
Bajo la apariencia de una herramienta funcional, el malware “roba sus credenciales de WhatsApp, intercepta cada mensaje, recopila sus contactos, instala una puerta trasera persistente y cifra todo antes de enviarlo al servidor del actor de la amenaza”, dijo el investigador de Koi Security, Tuval Admoni, en un informe publicado durante el fin de semana.
En particular, está equipado para recopilar tokens de autenticación y claves de sesión, historial de mensajes, listas de contactos con números de teléfono y archivos y documentos multimedia. Más importante aún, la biblioteca está inspirada en @whiskeysockets/baileys, una biblioteca TypeScript legítima basada en WebSockets para interactuar con la API web de WhatsApp.
Esto se logra utilizando un contenedor WebSocket malicioso a través del cual se pasan mensajes e información de autenticación, lo que permite capturar credenciales de inicio de sesión y chats. Los datos robados se transmiten cifrados a una URL controlada por el atacante.
El ataque no termina ahí, ya que el paquete también contiene una funcionalidad encubierta para proporcionar acceso persistente a la cuenta de WhatsApp de la víctima secuestrando el proceso de vinculación del dispositivo mediante un código de emparejamiento codificado.
“Cuando utilizas esta biblioteca para la autenticación, no sólo estás vinculando tu aplicación, sino también el dispositivo del actor de la amenaza”, dijo Admoni. “Tienen acceso completo y permanente a tu cuenta de WhatsApp y no tienes idea de que están allí”.
Vincular su dispositivo a la cuenta de WhatsApp del objetivo no solo permite el acceso continuo a sus contactos y conversaciones, sino también un acceso persistente incluso después de que el paquete se desinstale del sistema, siempre que el dispositivo del actor de la amenaza permanezca vinculado a la cuenta de WhatsApp hasta que se desvincule navegando a la configuración de la aplicación.
Idan Dardikman de Koi Security dijo a The Hacker News que la actividad maliciosa se activa cuando el desarrollador usa la biblioteca para conectarse a WhatsApp.
“El malware se envuelve alrededor del cliente WebSocket, por lo que una vez que te autentificas y comienzas a enviar/recibir mensajes, comienza la interceptación”, dijo Dardikman. “No se requiere ninguna funcionalidad especial más allá del uso normal de la API. El código de emparejamiento de puerta trasera también se activa durante el proceso de autenticación, por lo que el dispositivo del atacante se vincula en el momento en que conecta su aplicación a WhatsApp”.
Además, “lotusbail” está equipado con funciones anti-depuración que hacen que caiga en una trampa de bucle infinito y congele la ejecución al detectar herramientas de depuración.
“Los ataques a la cadena de suministro no se están desacelerando, sino que están empeorando”, afirmó Koi. “La seguridad tradicional no detecta esto. El análisis estático detecta el código de WhatsApp que funciona y lo aprueba. Los sistemas de reputación han visto 56.000 descargas y confían en él. El malware se esconde en la brecha entre “Este código funciona” y “Este código sólo hace lo que dice que hará”.
Los paquetes maliciosos de NuGet apuntan al ecosistema criptográfico
La divulgación se produjo cuando ReversingLabs reveló detalles de 14 paquetes NuGet maliciosos disfrazados de Nethereum, una biblioteca de integración .NET para la cadena de bloques descentralizada Ethereum y otras herramientas relacionadas con criptomonedas para redirigir fondos de transacciones a billeteras controladas por atacantes cuando el monto de la transferencia excede los $100, o para exfiltrar claves privadas y frases iniciales.
Los nombres de los paquetes publicados por ocho cuentas diferentes se enumeran a continuación:
- binance.csharp
- Bitcoincore
- bybitapi.net
- Coinbase.net.api
- googleads.api
- nbitcoin.unificado
- Nethereumnet
- nethereumunificado
- netherеum.todos
- Solananet
- solnetall
- solnetall.net
- solnetplus
- solneunificado
Los paquetes han utilizado varias técnicas para hacer que los usuarios tengan una falsa confianza en la seguridad, incluido el aumento del número de descargas y el lanzamiento de docenas de nuevas versiones en un corto período de tiempo para dar la impresión de que se están manteniendo activamente. La campaña se remonta a julio de 2025.
La funcionalidad maliciosa se inyecta de tal manera que solo se activa cuando los desarrolladores instalan los paquetes y ciertas funciones se integran en otras aplicaciones. Entre los paquetes destaca GoogleAds.API, que se centra en robar información OAuth de Google Ads en lugar de exfiltrar secretos de datos de billetera.
“Estos activos son extremadamente sensibles porque permiten acceso programático completo a una cuenta de Google Ads. Si se filtran, los atacantes pueden hacerse pasar por el anunciante de la víctima, leer todos los datos de campaña y rendimiento, crear o modificar anuncios e incluso gastar dinero ilimitado en una campaña maliciosa o fraudulenta”, dijo ReversingLabs.
About The Author
