Investigadores en seguridade identificaron un paquete malicioso no repositorio NPM, denominado lotusbail, que foi descargado máis de 56.000 veces antes de ser retirado. O paquete facíase pasar por unha libraría lexítima da API de WhatsApp Web, pero executaba código malicioso de forma encuberta.
Descrición do incidente
O paquete lotusbail simulaba ofrecer funcionalidades para a integración con WhatsApp Web en aplicacións baseadas en Node.js. Porén, incluía malware que se executaba en segundo plano, permitindo aos atacantes acceder de maneira persistente ás contas de WhatsApp xestionadas polas aplicacións afectadas.
A actividade maliciosa desenvolvíase sen interacción directa do usuario final, aproveitando a confianza dos desenvolvedores nas dependencias de terceiros.
Información comprometida
Segundo a análise publicada, o paquete malicioso era capaz de:
- Recoller tokens de autenticación
- Acceder a historiais completos de mensaxes
- Extraer listas de contactos
- Copiar arquivos multimedia
- Manter acceso persistente mediante portas traseiras ás contas de WhatsApp afectadas
Vector de ataque
- Ataque á cadea de subministración (Supply Chain Attack)
- Suplantación dunha libraría aparentemente lexítima
- Execución silenciosa de malware en contornas de desenvolvemento e produción
- Exfiltración continua de datos sen alertas visibles
Este tipo de ataque resulta especialmente perigoso porque non explota vulnerabilidades no usuario final, senón que compromete aplicacións a través das súas dependencias.
Sistemas e usuarios potencialmente afectados
- Desenvolvedores que instalasen o paquete lotusbail
- Aplicacións Node.js que interactúen con WhatsApp Web
- Contornas CI/CD que incorporasen a dependencia
- Usuarios finais cuxas contas de WhatsApp fosen xestionadas por aplicacións comprometidas
Investigadores en seguridade identificaron un paquete malicioso no repositorio NPM, denominado lotusbail, que foi descargado máis de 56.000 veces antes de ser retirado. O paquete facíase pasar por unha libraría lexítima da API de WhatsApp Web, pero executaba código malicioso de forma encuberta.
Medidas de mitigación recomendadas
Para desenvolvedores e organizacións
- Eliminar inmediatamente o paquete lotusbail de todos os proxectos.
- Revisar ficheiros package.json, package-lock.json e yarn.lock.
- Executar auditorías de dependencias (npm audit).
- Rotar credenciais e tokens empregados polas aplicacións afectadas.
- Revisar rexistros de execución e tráfico saínte sospeitoso.
- Implantar solucións de análise de composición de software (SCA) nos procesos CI/CD.
- Limitar o uso de dependencias non verificadas.
Para usuarios finais
- Pechar sesións activas de WhatsApp Web.
- Activar a verificación en dous pasos.
- Revisar dispositivos vinculados e actividade recente da conta.
Contexto e tendencia
Este incidente enmárcase nun incremento sostido de ataques aos repositorios de software máis utilizados, como NPM, PyPI ou Maven. Os atacantes buscan comprometer cadeas de subministración para obter acceso indirecto a un elevado número de usuarios e organizacións.
Conclusión
O caso do paquete lotusbail evidencia que a seguridade do desenvolvemento software depende tamén da confianza nas dependencias externas. A adopción de controis rigorosos sobre librarías de terceiros é esencial para reducir o risco de compromisos a gran escala.
Recoméndase manter unha vixilancia continua, revisión periódica de dependencias e medidas preventivas reforzadas en todas as fases do ciclo de desenvolvemento.
