Investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso en el repositorio npm que funciona como una API de WhatsApp completamente funcional, pero que también contiene la capacidad de interceptar cada mensaje y vincular el dispositivo del atacante a la cuenta de WhatsApp de la víctima.
El paquete, llamado «lotobail,» ha sido descargado más de 56.000 veces desde que un usuario llamado «seiren_primrose» lo subió por primera vez al registro en mayo de 2025. De estas, 711 descargas se realizaron durante la última semana. La biblioteca todavía está disponible para descargar al momento de escribir este artículo.
Bajo la apariencia de una herramienta funcional, el malware «roba sus credenciales de WhatsApp, intercepta cada mensaje, recopila sus contactos, instala una puerta trasera persistente y cifra todo antes de enviarlo al servidor del actor de la amenaza», dijo el investigador de Koi Security, Tuval Admoni. dicho en un informe publicado durante el fin de semana.
Específicamente, está equipado para capturar tokens de autenticación y claves de sesión, historial de mensajes, listas de contactos con números de teléfono, así como archivos multimedia y documentos. Más significativamente, la biblioteca está inspirada en @whiskysockets/baileysuna biblioteca TypeScript legítima basada en WebSockets para interactuar con la API web de WhatsApp.
Esto se logra mediante un contenedor WebSocket malicioso a través del cual se enrutan mensajes e información de autenticación, lo que le permite capturar credenciales y chats. Los datos robados se transmiten de forma cifrada a una URL controlada por el atacante.
El ataque no termina ahí, ya que el paquete también alberga una funcionalidad encubierta para crear acceso persistente a la cuenta de WhatsApp de la víctima secuestrando el proceso de vinculación de dispositivos mediante el uso de un código de emparejamiento codificado.
«Cuando usas esta biblioteca para autenticar, no solo estás vinculando tu aplicación, sino que también estás vinculando el dispositivo del actor de la amenaza», dijo Admoni. «Tienen acceso completo y persistente a tu cuenta de WhatsApp y no tienes idea de que están allí».
Al vincular su dispositivo al WhatsApp del objetivo, no solo permite el acceso continuo a sus contactos y conversaciones, sino que también permite el acceso persistente incluso después de que el paquete se desinstale del sistema, dado que el dispositivo del actor de amenazas permanece vinculado a la cuenta de WhatsApp hasta que se desvincula navegando a la configuración de la aplicación.
Idan Dardikman de Koi Security dijo a The Hacker News que la actividad maliciosa se activa cuando el desarrollador usa la biblioteca para conectarse a WhatsApp.
«El malware envuelve el cliente WebSocket, por lo que una vez que te autentificas y comienzas a enviar/recibir mensajes, la interceptación se activa», dijo Dardikman. «No se necesita ninguna función especial más allá del uso normal de la API. El código de emparejamiento de puerta trasera también se activa durante el flujo de autenticación, por lo que el dispositivo del atacante se vincula en el momento en que conecta su aplicación a WhatsApp».
Además, «lotusbail» viene equipado con capacidades anti-depuración que hacen que entre en una trampa de bucle infinito cuando se detectan herramientas de depuración, lo que provoca que congele la ejecución.
«Los ataques a la cadena de suministro no se están desacelerando, sino que están mejorando», afirmó Koi. «La seguridad tradicional no detecta esto. El análisis estático ve el código de WhatsApp en funcionamiento y lo aprueba. Los sistemas de reputación han visto 56.000 descargas y confían en él. El malware se esconde en la brecha entre 'este código funciona' y 'este código sólo hace lo que dice'».
Los paquetes maliciosos de NuGet apuntan al ecosistema criptográfico
La divulgación se produce como ReversingLabs compartido detalles de 14 paquetes NuGet maliciosos que se hacen pasar por Nethereum, una biblioteca de integración .NET para la cadena de bloques descentralizada Ethereum, y otras herramientas relacionadas con criptomonedas para redirigir fondos de transacciones a billeteras controladas por atacantes cuando el monto de la transferencia excedió los $100 o exfiltrar claves privadas y frases iniciales.
Los nombres de los paquetes, publicados desde ocho cuentas diferentes, se enumeran a continuación:
- binance.csharp
- bitcoincore
- bybitapi.net
- coinbase.net.api
- googleads.api
- nbitcoin.unificado
- neteumnet
- nethereumunificado
- netherеum.todos
- solananet
- solnetall
- solnetall.net
- solnetplus
- solnetunificado
Los paquetes han aprovechado varias técnicas para adormecer a los usuarios con una falsa sensación de confianza en la seguridad, incluida la inflación del recuento de descargas y la publicación de docenas de nuevas versiones en un corto período de tiempo para dar la impresión de que se están manteniendo activamente. La campaña se remonta a julio de 2025.
La funcionalidad maliciosa se inyecta de tal manera que solo se activa cuando los desarrolladores instalan los paquetes y se integran funciones específicas en otras aplicaciones. Entre los paquetes destaca GoogleAds.API, que se centra en robar información OAuth de Google Ads en lugar de exfiltrar secretos de datos de billetera.
«Estos valores son muy sensibles porque permiten acceso programático completo a una cuenta de Google Ads y, si se filtran, los atacantes pueden hacerse pasar por el cliente publicitario de la víctima, leer todos los datos de campaña y rendimiento, crear o modificar anuncios e incluso gastar fondos ilimitados en una campaña maliciosa o fraudulenta», dijo ReversingLabs.
Fuente