Investigadores de ciberseguridad han revelado detalles de un nuevo paquete astuto en el repositorio npm que funciona como una API de WhatsApp completamente sencillo, pero que además contiene la capacidad de interceptar cada mensaje y vincular el dispositivo del atacante a la cuenta de WhatsApp de la víctima.
El paquete, llamado “lotusbail”, se ha descargado más de 56.000 veces desde que un legatario llamado “seiren_primrose” lo cargó por primera vez en el registro en mayo de 2025. De estas, 711 descargas se realizaron durante la última semana. La biblioteca todavía está habitable para descargar al momento de escribir este artículo.
Bajo la apariencia de una utensilio sencillo, el malware “roba sus credenciales de WhatsApp, intercepta cada mensaje, recopila sus contactos, instala una puerta trasera persistente y monograma todo antiguamente de enviarlo al servidor del actor de la amenaza”, dijo el investigador de Koi Security, Tuval Admoni, en un documentación publicado durante el fin de semana.
Específicamente, está equipado para capturar tokens de autenticación y claves de sesión, historial de mensajes, listas de contactos con números de teléfono, así como archivos multimedia y documentos. Más importante aún, la biblioteca está inspirada en @whiskeysockets/baileys, una biblioteca TypeScript legítima basada en WebSockets para interactuar con la API web de WhatsApp.
Esto se logra mediante un contenedor WebSocket astuto a través del cual se enrutan mensajes e información de autenticación, lo que le permite capturar credenciales y chats. Los datos robados se transmiten de forma cifrada a una URL controlada por el atacante.
El ataque no termina ahí, ya que el paquete además alberga una funcionalidad fraude para crear golpe persistente a la cuenta de WhatsApp de la víctima secuestrando el proceso de vinculación del dispositivo mediante el uso de un código de emparejamiento codificado.
“Cuando usas esta biblioteca para autenticar, no solo estás vinculando tu aplicación, sino que además estás vinculando el dispositivo del actor de la amenaza”, dijo Admoni. “Tienen golpe completo y persistente a tu cuenta de WhatsApp y no tienes idea de que están allí”.
Al vincular su dispositivo al WhatsApp del objetivo, no solo permite el golpe continuo a sus contactos y conversaciones, sino que además permite el golpe persistente incluso posteriormente de que el paquete se desinstale del sistema, transmitido que el dispositivo del actor de amenazas permanece vinculado a la cuenta de WhatsApp hasta que se desvincula navegando a la configuración de la aplicación.
Idan Dardikman de Koi Security dijo a The Hacker News que la actividad maliciosa se activa cuando el desarrollador usa la biblioteca para conectarse a WhatsApp.
“El malware envuelve el cliente WebSocket, por lo que una vez que te autentificas y comienzas a cursar/aceptar mensajes, la interceptación se activa”, dijo Dardikman. “No se necesita ninguna función distinto más allá del uso habitual de la API. El código de emparejamiento de puerta trasera además se activa durante el flujo de autenticación, por lo que el dispositivo del atacante se vincula en el momento en que conecta su aplicación a WhatsApp”.
Por otra parte, “lotusbail” viene equipado con capacidades anti-depuración que hacen que entre en una trampa de tirabuzón infinito cuando se detectan herramientas de depuración, lo que provoca que congele la ejecución.
“Los ataques a la sujeción de suministro no se están desacelerando, sino que están mejorando”, afirmó Koi. “La seguridad tradicional no detecta esto. El exploración asombrado ve el código de WhatsApp en funcionamiento y lo aprueba. Los sistemas de reputación han conocido 56.000 descargas y confían en él. El malware se esconde en la brecha entre ‘este código funciona’ y ‘este código sólo hace lo que dice'”.
Los paquetes maliciosos de NuGet apuntan al ecosistema criptográfico
La divulgación se produce cuando ReversingLabs compartió detalles de 14 paquetes NuGet maliciosos que se hacen acontecer por Nethereum, una biblioteca de integración .NET para la sujeción de bloques descentralizada Ethereum, y otras herramientas relacionadas con criptomonedas para redirigir fondos de transacciones a billeteras controladas por atacantes cuando el monto de la transferencia excedió los $100 o exfiltrar claves privadas y frases iniciales.
Los nombres de los paquetes, publicados desde ocho cuentas diferentes, se enumeran a continuación:
- binance.csharp
- bitcoincore
- bybitapi.net
- coinbase.net.api
- googleads.api
- nbitcoin.unificado
- neteumnet
- nethereumunificado
- netherеum.todos
- solananet
- solnetall
- solnetall.net
- solnetplus
- solnetunificado
Los paquetes han trabajador varias técnicas para dormitar a los usuarios con una falsa sensación de confianza en la seguridad, incluida la inflación del recuento de descargas y la publicación de docenas de nuevas versiones en un corto período de tiempo para dar la impresión de que se están manteniendo activamente. La campaña se remonta a julio de 2025.
La funcionalidad maliciosa se inyecta de tal guisa que solo se activa cuando los desarrolladores instalan los paquetes y se integran funciones específicas en otras aplicaciones. Entre los paquetes destaca GoogleAds.API, que se centra en robar información OAuth de Google Ads en división de exfiltrar secretos de datos de billetera.
“Estos títulos son muy sensibles porque permiten golpe programático completo a una cuenta de Google Ads y, si se filtran, los atacantes pueden hacerse acontecer por el cliente publicitario de la víctima, acertar todos los datos de campaña y rendimiento, crear o modificar anuncios e incluso vestir fondos ilimitados en una campaña maliciosa o fraudulenta”, dijo ReversingLabs.
