Detectan paquete npm malicioso que roba mensajes de WhatsApp tras una investigación realizada por especialistas en ciberseguridad. El hallazgo involucra a un paquete alojado en el repositorio npm. Este software se hace pasar por una biblioteca legítima de WhatsApp Web.
Los investigadores confirmaron que el paquete permite interceptar mensajes, archivos multimedia y credenciales. Además, accede a contactos y claves de autenticación sin ser detectado. Hasta el momento, acumula al menos 56.000 descargas registradas.
Este caso vuelve a evidenciar los riesgos asociados al uso de bibliotecas de terceros. Especialmente, cuando estas simulan ser herramientas oficiales o ampliamente reconocidas en entornos de desarrollo.
Cómo opera el paquete malicioso detectado en npm
El paquete fue publicado bajo el nombre lotusbail. Según el informe, fue identificado por la firma Koi Security. Se presenta como una bifurcación de WhiskeySockets Baileys, una biblioteca popular para automatizaciones en WhatsApp Web.
No obstante, detectan paquete npm malicioso que roba mensajes de WhatsApp porque incluye funciones ocultas. Estas permiten capturar tokens de autenticación y claves de sesión. Asimismo, intercepta todos los mensajes enviados y recibidos mediante la plataforma.
El código malicioso actúa sin generar alertas visibles. Por ello, los desarrolladores pueden no notar comportamientos irregulares durante su uso.
Intercepción de mensajes y archivos multimedia
Según los investigadores, el paquete afecta directamente al cliente WebSocket legítimo de WhatsApp. De esta manera, puede capturar mensajes antes de que lleguen a su destino. Además, registra comunicaciones entrantes y salientes.
Asimismo, detectan paquete npm malicioso que roba mensajes de WhatsApp porque permite acceder a archivos multimedia. Fotografías, audios y videos compartidos quedan expuestos. Todo ocurre sin que el usuario perciba anomalías en la aplicación.
Esta capacidad amplía el impacto potencial del ataque. También incrementa el riesgo para usuarios y empresas que integran estas bibliotecas.
Exfiltración cifrada para evadir controles de seguridad
Uno de los elementos más sofisticados del paquete es su método de exfiltración de datos. La información robada se cifra mediante una implementación personalizada de RSA. Posteriormente, se envía a servidores controlados por los atacantes.
Este cifrado previo dificulta la detección por herramientas de monitoreo de red. Por lo tanto, la actividad maliciosa puede pasar desapercibida durante largos periodos.
Vinculación oculta de dispositivos a WhatsApp
Los expertos también señalaron una función crítica. El malware permite vincular dispositivos externos a la cuenta de WhatsApp de la víctima. Esto se logra secuestrando el proceso de emparejamiento.
Como resultado, detectan paquete npm malicioso que roba mensajes de WhatsApp incluso después de ser desinstalado. Los atacantes mantienen acceso persistente e invisible a las conversaciones.
Recomendaciones clave para usuarios y desarrolladores
Los especialistas recomiendan revisar periódicamente los dispositivos vinculados en WhatsApp. Cualquier conexión desconocida debe eliminarse de inmediato. Esta acción se realiza desde la sección de Ajustes.
En el caso de los desarrolladores, se aconseja monitorear el comportamiento de las dependencias en tiempo de ejecución. Además, se debe verificar el origen y mantenimiento de cada biblioteca. Aunque desinstalar el paquete elimina el malware, es imprescindible desvincular manualmente los dispositivos añadidos.
El paquete malicioso estuvo activo durante al menos seis meses. Este hecho refuerza la necesidad de extremar las prácticas de seguridad.
Más noticias:
Suiza bloquea activos vinculados al entorno de Maduro tras su detención internacional
Fuente:
