Un paquete malicioso alojado en el administrador Node Package Manager (npm) ha sido identificado como una amenaza para los usuarios de WhatsApp Web, al permitir el acceso no autorizado a mensajes, archivos multimedia, contactos y claves de sesión.
El componente, que se hace pasar por una biblioteca legítima, ha sido descargado al menos 56.000 veces y opera de forma prácticamente indetectable.
Un paquete que suplanta una biblioteca legítima
NPM es un servicio ampliamente utilizado por desarrolladores de JavaScript para publicar y descargar paquetes de software con distintas funciones. Dentro de este ecosistema, investigadores de ciberseguridad detectaron un paquete que aparenta ser una implementación válida de la API de WhatsApp Web, pero que en realidad incorpora código malicioso diseñado para espiar a los usuarios.
El paquete fue publicado bajo el nombre ‘lotusbail’ y corresponde a una bifurcación del proyecto legítimo WhiskeySockets Baileys, una biblioteca popular utilizada para crear bots y automatizaciones que interactúan con WhatsApp Web. Esta similitud facilita que pase desapercibido y sea integrado en proyectos sin levantar sospechas.
Robo de mensajes, archivos y credenciales
Según explicó la compañía de seguridad Koi Security, el paquete no solo replica las funciones esperadas de una biblioteca de WhatsApp Web, sino que añade capacidades ocultas para robar tokens de autenticación y claves de sesión. Esto permite interceptar los mensajes enviados y recibidos, acceder a su contenido y extraer archivos multimedia como fotografías, audios y videos.
El mecanismo de ataque se basa en la manipulación del cliente legítimo WebSocket que se comunica con los servidores de WhatsApp. De esta manera, el código malicioso recibe todos los mensajes antes de que lleguen al usuario final o sean enviados por este.
“Al autenticarte, el contenedor captura tus credenciales. Cuando llegan mensajes, los intercepta. Cuando envías mensajes, los registra. La funcionalidad legítima continúa funcionando con normalidad; el ‘malware’ simplemente añade un segundo destinatario para todo”, ha explicado la compañía.
Cifrado para evadir la detección
Uno de los elementos que más preocupa a los investigadores es que la información robada no se envía en texto plano. Los datos capturados son cifrados mediante una implementación completa y personalizada de RSA, lo que permite que queden protegidos antes de ser exfiltrados.
Este método busca evitar que los sistemas de monitorización de red detecten el tráfico sospechoso, ya que la información viaja cifrada “para que la monitorización red no los detecte”, según detalla el informe de seguridad.
Control remoto e invisible de la cuenta
Además del espionaje de mensajes, los actores maliciosos pueden tomar control de la cuenta de WhatsApp de la víctima sin que esta lo note. El paquete incluye una función que vincula el dispositivo del atacante a la cuenta del usuario mediante el proceso oficial de emparejamiento de dispositivos de la plataforma.
El procedimiento consiste en generar una cadena aleatoria de ocho caracteres que se introduce en el nuevo dispositivo. El ‘malware’ secuestra el proceso utilizando un código de emparejamiento ya codificado, lo que permite asociar el dispositivo externo y acceder a todas las conversaciones de forma invisible.
Recomendaciones y medidas de mitigación
De acuerdo con los investigadores, el paquete malicioso ha permanecido activo durante al menos seis meses en npm y su alto número de descargas incrementa el riesgo para desarrolladores y usuarios finales. Por ello, se recomienda revisar periódicamente los dispositivos vinculados a la cuenta de WhatsApp desde la sección de Ajustes y desvincular de inmediato cualquier equipo desconocido.
También se advierte que, aunque la desinstalación del paquete npm elimina el código malicioso, el dispositivo del atacante puede seguir vinculado a la cuenta. En estos casos, la desvinculación debe realizarse manualmente para cortar por completo el acceso no autorizado.
Finalmente, Koi Security insta a los desarrolladores a monitorizar el comportamiento de sus aplicaciones en tiempo de ejecución, con el fin de detectar actividades inesperadas que puedan indicar la presencia de código malicioso integrado a través de dependencias aparentemente legítimas.
*Con información de Europa Press.
