Un paquete malicioso distribuido a través del administrador de paquetes Node Package Manager (npm) estaría siendo utilizado para comprometer la seguridad de usuarios de WhatsApp Web. La herramienta permite a actores maliciosos acceder de forma indetectable a mensajes, archivos multimedia, contactos y credenciales de acceso, al hacerse pasar por una biblioteca legítima que ya acumula cerca de 56.000 descargas.
npm es una plataforma ampliamente utilizada por desarrolladores de JavaScript para publicar y gestionar paquetes de software con distintas funcionalidades. En este ecosistema se ha detectado un paquete que suplanta a una supuesta biblioteca oficial de la API de WhatsApp Web, pero que en realidad incorpora código malicioso.
El paquete en cuestión es una bifurcación del proyecto legítimo WhiskeySockets Baileys, una herramienta diseñada para crear bots y automatizaciones que interactúan con WhatsApp Web. No obstante, bajo el nombre ‘lotusbail’, este software identificado por la firma de ciberseguridad Koi Security incluye funciones ocultas orientadas al espionaje y robo de información.
De acuerdo con los investigadores, el paquete es capaz de sustraer tokens de autenticación y claves de sesión, interceptar mensajes entrantes y salientes, y acceder a archivos multimedia como fotografías, audios y videos. Esto es posible porque el código malicioso interfiere directamente con el cliente legítimo WebSocket, encargado de gestionar la comunicación con WhatsApp, el cual recibe todos los mensajes antes de que sean procesados por la aplicación.
“Al momento de autenticarte, el contenedor captura las credenciales. Cuando llegan mensajes, los intercepta; cuando se envían, los registra. La funcionalidad legítima continúa operando con normalidad, pero el malware añade un segundo destinatario para toda la información”, explicaron desde Koi Security.
Además, los datos recopilados son cifrados mediante una implementación personalizada de cifrado RSA, lo que permite ocultarlos antes de su exfiltración y dificultar su detección por sistemas de monitoreo de red.
Los expertos también advirtieron que este mecanismo puede ser utilizado para tomar el control de la cuenta del usuario sin que este lo note. El paquete incluye una función que permite vincular el dispositivo del atacante a la cuenta de WhatsApp de la víctima, aprovechando el sistema de emparejamiento de dispositivos de la plataforma.
Para lograrlo, el malware genera una cadena aleatoria de ocho caracteres que se introduce en el nuevo dispositivo, secuestrando el proceso de vinculación mediante un código de emparejamiento previamente codificado.
Ante este escenario, se recomienda a los usuarios revisar periódicamente la lista de dispositivos vinculados desde la sección de ‘Ajustes’ de WhatsApp y desvincular de inmediato cualquier dispositivo desconocido.
El paquete malicioso lleva activo aproximadamente seis meses y ya suma alrededor de 56.000 descargas en npm. Por ello, los especialistas aconsejan a los desarrolladores monitorear el comportamiento de sus aplicaciones en tiempo de ejecución para detectar actividades anómalas que puedan indicar el uso de código malicioso.
Finalmente, advirtieron que, si bien desinstalar el paquete elimina el software dañino, el dispositivo del atacante puede permanecer vinculado a la cuenta, por lo que es imprescindible realizar la desvinculación de forma manual para garantizar la seguridad.
