
Un paquete malicioso del administrador Node Package Manager (npm) para WhatsApp Web permite a actores maliciosos acceder a los mensajes, archivos multimedia, contactos y claves de acceso de los usuarios de manera indetectable, al hacerse pasar por una biblioteca legítima que ya acumula 56.000 descargas.
El servicio npm es un gestor de paquetes de software utilizado por desarrolladores de JavaScript que publican paquetes para diversas funciones. De esta forma, dentro de los paquetes publicados, se ha detectado uno que se presenta como una biblioteca legítima de WhatsApp Web API, pero en realidad contiene código malicioso.
Este paquete es una bifurcación del proyecto WhiskeySockets Baileys, el cual ofrece funciones para crear bots o automatizaciones en WhatsApp Web diseñadas para usarse posteriormente en la aplicación.
No obstante, bajo el nombre ‘lotusbail’, este paquete identificado por la empresa de seguridad Koi Security también otorga la capacidad de robar tokens de autenticación y claves de sesión de WhatsApp, además de interceptar los mensajes enviados y recibidos para acceder a su contenido y sustraer archivos multimedia como fotos, audios y vídeos.
Concretamente, según han explicado los investigadores de seguridad en un comunicado, el paquete permite sustraer los mensajes porque modifica el cliente ‘WebSocket’ legítimo que se conecta con WhatsApp y que recibe todos los mensajes de la aplicación antes de
«Al autenticarte, el contenedor captura tus credenciales. Cuando llegan mensajes, los intercepta. Cuando envías mensajes, los registra. La funcionalidad original sigue funcionando normalmente; el ‘malware’ simplemente añade un segundo destinatario para todo«, ha detallado la compañía.
Asimismo, los datos capturados se cifran mediante una implementación RSA completa y personalizada, de modo que la información queda cifrada antes de la exfiltración para «evitar que la monitorización de la red los detecte».
Por otro lado, los actores malintencionados también pueden emplear este sistema para controlar la cuenta del usuario y acceder a sus conversaciones sin ser detectados. Esto se debe a que el paquete incluye una función maliciosa que vincula el dispositivo del atacante a la cuenta de WhatsApp de la víctima mediante el proceso de emparejamiento del dispositivo en la red social.
En concreto, se solicita generar una cadena aleatoria de 8 caracteres, la cual se introduce en el nuevo dispositivo para lograr vincularlo, ya que el ‘malware’ intercepta el proceso con un código de emparejamiento también codificado.
En vista de ello, para prevenir el acceso no autorizado a la cuenta, se recomienda que los usuarios verifiquen los dispositivos vinculados en la sección de ‘Ajustes’ y, en caso de detectar algún dispositivo desconocido, lo desvinculen inmediatamente de su cuenta.
Este paquete con código malicioso ha estado activo durante seis meses y, según los investigadores en ciberseguridad, ya tiene 56.000 descargas en npm. En este contexto, aconsejan a los desarrolladores monitorizar el comportamiento de la plataforma en tiempo real para identificar actividad inusual y confirmar si se está usando código malicioso.
Del mismo modo, han advertido que, aunque al desinstalar el paquete npm se elimina el código malicioso, el dispositivo del actor de amenazas permanece vinculado a la cuenta de WhatsApp, por lo que debe desvincularse manualmente.

