Descubren un paquete malicioso que roba conversaciones y archivos de WhatsApp

Un paquete malicioso publicado en el repositorio npm ha sido detectado robando credenciales y conversaciones de WhatsApp. La librería, llamada lotusbail, contaba con más de 56.000 descargas antes de ser identificada como una amenaza.

Npm es el repositorio oficial de paquetes de JavaScript y Node.js, donde desarrolladores de todo el mundo publican y comparten librerías de código que otros pueden usar en sus proyectos. Es un recurso muy útil porque permite reutilizar funcionalidades ya desarrolladas, pero al ser abierto y de acceso público, también puede convertirse en un vector de ataques si algún paquete contiene código malicioso.

A primera vista, lotusbail se presentaba como una librería legítima para interactuar con WhatsApp Web, permitiendo enviar y recibir mensajes desde aplicaciones externas. Sin embargo, el paquete incluía código que interceptaba información sensible de los usuarios que lo utilizaban. 

Entre los datos comprometidos se encontraban credenciales de autenticación, mensajes enviados y recibidos, listas de contactos y archivos compartidos. Además, la librería establecía una conexión persistente con los servidores del atacante, lo que permitía mantener acceso a la cuenta incluso después de eliminar el paquete del proyecto.

Cómo ha pasado desapercibida

El código malicioso estaba ofuscado y cifrado, dificultando su detección automática. Esto, combinado con la funcionalidad real que ofrecía la librería, hizo que muchos desarrolladores la integraran sin sospechar ningún riesgo. 

El caso de lotusbail evidencia la vulnerabilidad de los ecosistemas de software abiertos como npm, donde librerías de terceros pueden ser utilizadas masivamente sin auditoría previa. Además, pone de manifiesto que no toda librería es segura, incluso si proviene de un repositorio oficial. 

Antes de proceder a instalar un paquete los expertos recomiendan verificar quién lo mantiene (para ver su perfil o reputación), revisar el código fuente (sobre todo si hay dependencias críticas) y utilizar herramientas de escaneo de dependencias que pueden identificar paquetes maliciosos o sospechosos.