Un hallazgo grave ha vuelto a sorprender a los desarrolladores de aplicaciones. Se afirmó que se sabe que los paquetes maliciosos en el repositorio npm se disfrazan de API (interfaz de programación de aplicaciones) de WhatsApp y roban secretamente datos del usuario.
Los investigadores de ciberseguridad revelaron que un paquete NPM llamado Lotusbail, que actúa como una API web falsa de WhatsApp, se descargó más de 56.000 veces.
El efecto no es ninguna broma. Se pueden robar mensajes de WhatsApp, tokens de inicio de sesión, listas de contactos e incluso archivos multimedia de los usuarios. Se explicó que las cuentas de WhatsApp también tienen el potencial de ser completamente controladas por los ciberdelincuentes.
Este hallazgo fue publicado por primera vez por Koi Security. Citando un informe de The Register del martes (23 de diciembre de 2025), el paquete “lotusbail npm” ha estado disponible para descargar durante seis meses, y eso es muy peligroso porque el código funciona.
“Esto realmente funciona como una API de WhatsApp”, dijo Tuval Admoni, investigador de Koi Security. “Envía y recibe mensajes como una biblioteca oficial”.
Lotusbail es un derivado de la biblioteca oficial. @whiskysockets/baileys. Este paquete utiliza WebSocket para comunicarse con el servidor de WhatsApp. Sin embargo, este mecanismo en realidad permite que todo el tráfico de mensajes se enrute a través de capas maliciosas controladas por atacantes.
Esto permite registrar las credenciales de autenticación del usuario durante el proceso de inicio de sesión y interceptar en secreto los mensajes enviados y recibidos.
“Todos los tokens de autenticación de WhatsApp, cada mensaje enviado o recibido, listas completas de contactos, archivos multimedia, todo lo que pasa a través de la API está duplicado y preparado para la exfiltración”, escribió Admoni.
Para evitar la detección, malware Utiliza una implementación RSA personalizada, así como cuatro capas. Ofuscaciónbasado en la manipulación UnicódigoCompresión LZString, codificación Base-91, hasta cifrado AES antes de que los datos se envíen a un servidor controlado por el perpetrador.
About The Author
