Los investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso en el repositorio npm que funciona como una API de WhatsApp totalmente funcional, pero que también contiene la capacidad de interceptar todos los mensajes y vincular el dispositivo del atacante a la cuenta de WhatsApp de la víctima.

El paquete, denominado» fianza de loto », se ha descargado más de 56,000 veces ya que un usuario llamado «seiren_primrose» lo subió por primera vez al registro en mayo de 2025. De estas, 711 descargas tuvieron lugar durante la última semana. La biblioteca aún está disponible para su descarga al momento de escribir este artículo.

Al amparo de una herramienta funcional, el malware «roba tus credenciales de WhatsApp, intercepta todos los mensajes, recopila tus contactos, instala una puerta trasera persistente y cifra todo antes de enviarlo al servidor del actor de la amenaza», dijo Tuval Admoni, investigador de Koi Security dijo en un informe publicado el fin de semana.

Específicamente, está equipado para capturar tokens de autenticación y claves de sesión, historial de mensajes, listas de contactos con números de teléfono, así como archivos multimedia y documentos. Más importante aún, la biblioteca está inspirada en @whiskeysockets /baileys , una biblioteca de TypeScript legítima basada en WebSockets para interactuar con la API web de WhatsApp.

Esto se logra mediante un contenedor WebSocket malicioso a través del cual se envían la información y los mensajes de autenticación, lo que le permite capturar las credenciales y los chats. Los datos robados se transmiten cifrados a una URL controlada por un atacante.

El ataque no termina ahí, ya que el paquete también incluye una función encubierta para crear un acceso persistente a la cuenta de WhatsApp de la víctima mediante el secuestro de proceso de vinculación de dispositivos mediante un código de emparejamiento codificado.

«Cuando usas esta biblioteca para autenticarte, no solo estás vinculando tu aplicación, sino que también estás vinculando el dispositivo del actor de la amenaza», afirma Admoni. «Tienen acceso completo y persistente a tu cuenta de WhatsApp, y no tienes ni idea de que están ahí».

Al vincular su dispositivo al WhatsApp del objetivo, no solo permite el acceso continuo a sus contactos y conversaciones, sino que también permite el acceso persistente incluso después de que el paquete se haya desinstalado del sistema, dado que el dispositivo del actor de la amenaza permanece vinculado a la cuenta de WhatsApp hasta que se desvincula navegando a la configuración de la aplicación.

Idan Dardikman, de Koi Security, dijo a The Hacker News que la actividad maliciosa se desencadena cuando el desarrollador usa la biblioteca para conectarse a WhatsApp.

«El malware envuelve el cliente WebSocket, por lo que una vez que te autenticas y empiezas a enviar/recibir mensajes, la interceptación se activa», afirma Dardikman. «No se necesita ninguna función especial más allá del uso normal de la API. El código de emparejamiento de puerta trasera también se activa durante el proceso de autenticación, por lo que el dispositivo del atacante queda vinculado en el momento en que conectas tu aplicación a WhatsApp».

Además, «lotusbail» viene equipado con funciones antidepuración que hacen que entre en una trampa de bucle infinito cuando se detectan herramientas de depuración, lo que provoca que se congele la ejecución.

«Los ataques a la cadena de suministro no se están desacelerando, sino que están mejorando», dijo Koi. «La seguridad tradicional no capta esto. El análisis estático detecta el código de WhatsApp que funciona y lo aprueba. Los sistemas de reputación han registrado 56 000 descargas y confían en ello. El malware se esconde en la brecha entre «este código funciona» y «este código solo hace lo que dice».

Los paquetes NuGet maliciosos se dirigen al ecosistema criptográfico

La divulgación se produce como ReversingLabs compartido detalles de 14 paquetes NuGet maliciosos que se hacen pasar por Neethereum, una biblioteca de integración de.NET para la cadena de bloques descentralizada de Ethereum, y otras herramientas relacionadas con las criptomonedas para redirigir los fondos de las transacciones a carteras controladas por los atacantes cuando el importe de la transferencia supera los 100 dólares o extraer claves privadas y frases iniciales.

Los nombres de los paquetes, publicados desde ocho cuentas diferentes, se enumeran a continuación:

  • binance.csharp
  • núcleo de bitcoin
  • de bitapi.net
  • coinbase.net.api
  • googleads.api
  • bitcoin.unified
  • nethereumnet
  • nethereum unificado
  • netherum.all
  • solanet
  • solnet
  • solnetall.net
  • solnet plus
  • solnet unificado

Los paquetes han aprovechado varias técnicas para hacer caer a los usuarios en una falsa sensación de confianza en la seguridad, como inflar el recuento de descargas y publicar docenas de nuevas versiones en poco tiempo para dar la impresión de que se mantiene activamente. La campaña se remonta a julio de 2025.

La funcionalidad maliciosa se inyecta de manera que solo se activa cuando los desarrolladores instalan los paquetes y las funciones específicas están integradas en otras aplicaciones. Entre los paquetes destaca GoogleAds.api, que se centra en robar la información de OAuth de Google Ads en lugar de filtrar los secretos de los datos del monedero.

«Estos valores son muy delicados, porque permiten un acceso programático completo a una cuenta de Google Ads y, si se filtran, los atacantes pueden hacerse pasar por el cliente publicitario de la víctima, leer todos los datos de la campaña y el rendimiento, crear o modificar anuncios e incluso gastar fondos ilimitados en una campaña maliciosa o fraudulenta», afirma ReversingLabs.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.