Un malware disfrazado de librería robó mensajes y credenciales de WhatsApp Web al infiltrarse en npm y comprometer miles de cuentas sin ser detectado
25.12.2025 • 09:00hs • CIBERSEGURIDAD
CIBERSEGURIDAD
Nuevo malware roba mensajes y contactos de WhatsApp Web sin que los usuarios lo noten: cómo funciona
:quality(75):max_bytes(102400)/https://assets.iproup.com/assets/jpg/2025/11/45163.jpg)
Un nuevo malware afecta directamente a millones de usuarios de WhatsApp, el cual les permite a los atacantes acceder de forma silenciosa a cuentas de WhatsApp Web y robar mensajes, contactos, archivos y credenciales
Según investigadores en ciberseguridad, se identificó un paquete malicioso alojado en el repositorio de Node Package Manager (npm), el cual queda disfrazado de biblioteca legítima.
Este paquete, publicado bajo el nombre "lotusbail", simula ofrecer una API funcional para WhatsApp Web, pero incluye código diseñado para interceptar toda la actividad de la cuenta de la víctima.
El malware que nadie vio venir y que espía WhatsApp Web
Según el análisis de seguridad realizado por la firma Koi Security, lotusbail es en realidad una bifurcación del proyecto legítimo WhiskeySockets Baileys, una biblioteca de automatización para WhatsApp.
El funcionamiento de lotusbail es el siguiente:
- Captura tokens de autenticación y claves de sesión del usuario.
- Intercepta mensajes entrantes y salientes, así como archivos multimedia como fotos, audios y vídeos.
- Duplica silenciosamente la comunicación entre el cliente del usuario y los servidores de WhatsApp, añadiendo un destino oculto para los datos robados.
El nivel de sofisticación de este malware también incluye el uso de cifrado RSA personalizado para que la exfiltración de datos pase desapercibida ante herramientas de detección de amenazas.
El alcance de la amenaza digital
Por otro lado, este paquete malicioso estuvo activo en npm durante aproximadamente seis meses, y se descargó más de 56.000 veces antes de ser detectado.
La persistencia del código en la vasta red de dependencias de npm resalta un riesgo creciente en la seguridad de la cadena de suministro de software, un vector que fue aprovechado en otros ataques de gran escala contra desarrolladores y usuarios finales.
En esta línea, expertos en ciberseguridad recomiendan a desarrolladores y administradores:
- Monitorear el comportamiento de dependencias en tiempo de ejecución para detectar actividad inesperada.
- Evitar instalar paquetes que no cuenten con mantenedores confiables y auditorías de seguridad.
- Revisar regularmente las dependencias en proyectos y actualizarlas o eliminarlas cuando sea necesario para reducir la superficie de ataque.
Para los usuarios de WhatsApp, la recomendación es verificar la sección "Dispositivos vinculados" en la configuración de la aplicación y desconectar cualquier dispositivo desconocido o sospechoso.
Aunque desinstalar el paquete malicioso de npm elimina el código dañino de una aplicación, el dispositivo del atacante puede permanecer vinculado a la cuenta de WhatsApp, por lo que la desvinculación manual es esencial para recuperar la seguridad.
