En un contexto alarmante para la privacidad de los usuarios de WhatsApp Web, se ha descubierto un paquete malicioso en el gestor de Node Package Manager (npm) que permite a ciberdelincuentes acceder de forma secreta a los mensajes, archivos y contactos de miles de personas. Este script engañoso ha conseguido mimetizarse con una biblioteca legítima y lleva acumuladas más de 56,000 descargas, lo que plantea serias preocupaciones sobre la seguridad en la plataforma.

npm, un recurso esencial para los desarrolladores de JavaScript que buscan implementar diversas funcionalidades en sus aplicaciones, ha sido víctima de esta intrusión. Los expertos han identificado un paquete que asume la identidad de una biblioteca oficial de la API de WhatsApp Web, pero que en lugar de ofrecer herramientas útiles, incluye un código malicioso diseñado para comprometer la información del usuario.

Este peligroso paquete es, de hecho, una versión alterada del proyecto WhiskeySockets Baileys, que originalmente se utilizaba para crear bots y automatizaciones en WhatsApp Web. Sin embargo, bajo el nombre de 'lotusbail', este código malicioso ha sido examinado por Koi Security y se ha revelado que permite el robo de tokens de autenticación y claves de sesión, además de interceptar mensajes entrantes y salientes, así como archivos multimedia como fotos y videos.

Los investigadores han aclarado cómo opera este software dañino: interfiere con el cliente legítimo de 'WebSocket' que se conecta con WhatsApp. Esto significa que cuando un usuario introduce sus credenciales, el malware se hace con acceso a esta información. Posteriormente, el paquete registra todos los mensajes enviados y recibidos, sin que el usuario lo note, manteniendo la funcionalidad normal de la aplicación.

El proceso es bastante subrepticio, ya que cualquier dato robado es cifrado utilizando un método RSA modificado, lo que dificulta su detección durante su transferencia. Los hackers, por su parte, pueden mantenerse en sombra al tener control total sobre la cuenta de la víctima.

Al parecer, este sistema permite que el atacante vincule su dispositivo a la cuenta de WhatsApp de su víctima, aprovechando un ingenioso truco de emparejamiento. Al generar y proporcionar una cadena aleatoria de ocho caracteres, el malware logra eludir los controles de seguridad y unirse a la cuenta afectada.

Para protegerse de esta amenaza emergente, se aconseja a los usuarios verificar los dispositivos conectados en el apartado de ajustes de la aplicación de WhatsApp. En caso de notar un dispositivo desconocido, es crucial desvincularlo prontamente para salvaguardar su información personal.

El paquete malicioso ha estado operativo durante seis meses y, según los analistas de ciberseguridad, ha sido descargado más de 56,000 veces, destacando la necesidad de fortalecer las medidas de vigilancia por parte de los desarrolladores sobre las actividades enlace de la plataforma. Adicionalmente, aunque la desinstalación del paquete elimina el código malicioso, el riesgo persiste, ya que el dispositivo del atacante podría seguir vinculado, lo que requiere una desvinculación manual inmediata por parte del usuario afectado.