🚨 Alerta tecnológica: Detectan paquete malicioso en npm que suplanta a WhatsApp para robar mensajes y contactos 📱

🚨 Alerta tecnológica: Detectan paquete malicioso en npm que suplanta a WhatsApp para robar mensajes y contactos 📱

Investigadores de ciberseguridad han encendido las alarmas tras identificar un paquete malicioso en el repositorio npm (el gestor de paquetes de JavaScript) que se hace pasar por una API legítima de WhatsApp. El paquete, denominado ‘lotusbail’, fue subido por el usuario ‘seiren_primrose’ y se presenta engañosamente como una herramienta funcional para interactuar con la aplicación de mensajería. Sin embargo, su verdadero objetivo es interceptar mensajes, recopilar listas de contactos y robar credenciales de autenticación, afectando ya a miles de desarrolladores que lo integraron en sus proyectos pensando que era una biblioteca inofensiva.

La investigación de Koi Security detalla que el malware funciona mediante un contenedor WebSocket malicioso que redirige la información interceptada hacia los servidores de los atacantes. Lo más peligroso de ‘lotusbail’ es su capacidad de vinculación persistente: al momento de autenticarse para usar la API, el software vincula automáticamente el dispositivo del atacante a la cuenta de WhatsApp de la víctima. Esto permite a los ciberdelincuentes mantener el acceso a conversaciones y archivos multimedia incluso si el desarrollador elimina el paquete malicioso de su sistema, estableciendo una «puerta trasera» de larga duración.

[Imagen ilustrativa del logotipo de WhatsApp rodeado de líneas de código y un candado abierto, simbolizando la vulnerabilidad del paquete npm]

El diseño de este malware incluye tácticas avanzadas de evasión, como capacidades anti-depuración que provocan un bucle infinito si detectan que un experto en seguridad está intentando analizar el código. Con más de 56,000 descargas acumuladas hasta diciembre de 2025, la biblioteca ha logrado camuflarse gracias a su apariencia profesional y a la manipulación de su reputación en el repositorio. Según los expertos, este incidente subraya que los ataques a la cadena de suministro son cada vez más sofisticados, superando los análisis estáticos tradicionales que solo revisan el funcionamiento superficial del código.

Para aquellos que sospechan haber sido víctimas, la única forma efectiva de desvincular el acceso del atacante es entrar manualmente en la configuración de Dispositivos Vinculados dentro de la aplicación de WhatsApp y cerrar la sesión de cualquier dispositivo no reconocido. Este hallazgo coincide con otras campañas de malware similares detectadas en entornos como NuGet, donde paquetes falsos de herramientas cripto buscan redirigir fondos. La recomendación para los desarrolladores en este cierre de 2025 es extremar la verificación de las fuentes y utilizar únicamente bibliotecas oficiales o ampliamente validadas por la comunidad.