Investigadores de ciberseguridad identificaron un paquete malicioso alojado en el administrador de paquetes npm que se hace pasar por una biblioteca legítima de WhatsApp Web. El paquete permite a actores maliciosos acceder a mensajes, archivos multimedia, contactos y claves de autenticación de forma indetectable y ya acumula al menos 56.000 descargas.
El hallazgo pone en evidencia los riesgos de seguridad asociados al uso de bibliotecas de terceros dentro de entornos de desarrollo, especialmente cuando estas simulan ser herramientas oficiales o ampliamente utilizadas.
Cómo funciona el paquete malicioso identificado
El paquete, publicado bajo el nombre lotusbail, fue identificado por la firma de seguridad Koi Security y se presenta como una bifurcación de WhiskeySockets Baileys, una biblioteca conocida para crear bots y automatizaciones en WhatsApp Web.
Sin embargo, además de ofrecer funciones aparentemente legítimas, el paquete incorpora código diseñado para robar tokens de autenticación, claves de sesión y para interceptar todos los mensajes enviados y recibidos a través de la plataforma.
Intercepción de mensajes y robo de archivos multimedia
Según explicaron los investigadores, el paquete malicioso afecta directamente al cliente WebSocket legítimo que se comunica con WhatsApp. De este modo, puede capturar los mensajes antes de que lleguen a su destino y registrar tanto los mensajes entrantes como los salientes.
Además, permite acceder a archivos multimedia compartidos en las conversaciones, como fotografías, audios y vídeos, sin que el usuario note un comportamiento anómalo en la aplicación.
Exfiltración de datos cifrada para evitar detección
Uno de los elementos más sofisticados del paquete es su sistema de exfiltración de datos. La información robada se cifra mediante una implementación personalizada de RSA antes de ser enviada a los servidores controlados por los atacantes.
Este cifrado previo dificulta que las herramientas de monitorización de red detecten la salida de información sensible, permitiendo que la actividad maliciosa pase desapercibida durante largos periodos.
Vinculación oculta de dispositivos a la cuenta de WhatsApp
Los investigadores también alertaron que el paquete incluye una función que permite a los atacantes vincular su propio dispositivo a la cuenta de WhatsApp de la víctima. Esto se logra secuestrando el proceso de emparejamiento de dispositivos mediante un código generado y codificado por el propio malware.
Como resultado, los actores maliciosos pueden acceder a las conversaciones del usuario de forma persistente e invisible, incluso después de que el paquete haya sido desinstalado.
Recomendaciones para usuarios y desarrolladores
Los especialistas recomiendan a los usuarios revisar periódicamente la lista de dispositivos vinculados a su cuenta de WhatsApp desde la sección de Ajustes y desvincular de inmediato cualquier dispositivo desconocido.
En el caso de los desarrolladores, aconsejan monitorear el comportamiento de las dependencias en tiempo de ejecución para detectar actividades inesperadas. También advierten que, aunque desinstalar el paquete elimina el código malicioso, es imprescindible desvincular manualmente cualquier dispositivo agregado de forma fraudulenta.
El paquete malicioso ha permanecido activo durante al menos seis meses, lo que refuerza la necesidad de extremar las medidas de verificación y seguridad en los entornos de desarrollo. (ECUAVISA)
Mas noticias
Elon Musk lanza predicción sobre el año en el que la IA podría superar a los humanos
OpenAI presenta ChatGPT Salud, herramienta que responde preguntas médicas, analiza resultados y ofrece consejos
“El verdadero peligro de la inteligencia artificial es la estupidez humana”