Paquete malicioso en NPM roba mensajes de WhatsApp

whatsapp
Empresas
Administración pública
aplicaciones
Nivel de alerta
Alto

Se ha identificado un paquete malicioso en el repositorio NPM, denominado lotusbail, que fue descargado más de 56.000 veces y que se hacía pasar por una librería legítima de la API de WhatsApp Web. En realidad, ejecutaba malware en segundo plano orientado al robo masivo de información de cuentas de Whatsapp.

 

¿Qué hacía el paquete malicioso?

El código malicioso realizaba, de forma silenciosa:

  • Exfiltración de tokens de autenticación
  • Robo de historiales de mensajes
  • Acceso a listas de contactos
  • Extracción de archivos multimedia
  • Implantación de una puerta trasera persistente en cuentas de WhatsApp comprometidas


El paquete se integraba en proyectos Node.js como dependencia, quedando activo en entornos de desarrollo y producción sin levantar alertas inmediatas.

Vector de ataque

  • Supply Chain Attack (cadena de suministro de software)
  • Suplantación de librería legítima
  • Ejecución encubierta en segundo plano
  • Abuso de confianza del ecosistema NPM


Este tipo de ataque resulta especialmente peligroso porque no requiere explotación directa del usuario final: basta con que el desarrollador instale la dependencia comprometida.

¿A quién afecta?

  • Desarrolladores que hayan instalado lotusbail
  • Aplicaciones Node.js que interactúen con WhatsApp Web
  • Entornos CI/CD que integrasen el paquete
  • Usuarios finales cuyas cuentas de WhatsApp hayan sido gestionadas por aplicaciones afectadas


Medidas inmediatas recomendadas

Para desarrolladores y organizaciones:

  1. Eliminar inmediatamente el paquete lotusbail de todos los proyectos.
  2. Auditar dependencias (npm audit, package-lock.json, yarn.lock).
  3. Rotar credenciales y tokens utilizados por aplicaciones afectadas.
  4. Revisar accesos y actividad anómala en cuentas de WhatsApp vinculadas.
  5. Implementar listas blancas de dependencias y controles de integridad.
  6. Activar análisis SCA (Software Composition Analysis) en CI/CD.


Para usuarios finales (si se sospecha compromiso):

  • Cerrar sesiones activas de WhatsApp Web.
  • Activar verificación en dos pasos.
  • Revisar dispositivos vinculados y actividad reciente.


Contexto y tendencia

Este incidente se suma a una creciente oleada de ataques a la cadena de suministro, donde los atacantes:

  • Apuntan a repositorios populares (NPM, PyPI, Maven)
  • Aprovechan la automatización del desarrollo moderno
  • Buscan acceso indirecto a grandes volúmenes de usuarios


El caso de lotusbail evidencia que la seguridad del código no termina en el repositorio propio. La confianza implícita en dependencias de terceros continúa siendo uno de los vectores más explotados por actores maliciosos.

Se recomienda mantener vigilancia continua, controles de dependencias estrictos y procesos de revisión reforzados en cualquier entorno de desarrollo.