Un paquete malicioso del administrador Node Package Manager (npm) para WhatsApp Web permite a actores maliciosos acceder a los mensajes, archivos multimedia, contactos y claves de acceso de los usuarios forma indetectable, al hacerse pasar por una biblioteca legítima que ya cuenta con 56.000 descargas.

El servicio npm es un administrador de paquetes de ‘software’ utilizado por desarrolladores de JavaScript que publican paquetes para distintas funciones. Así, dentro de los paquetes publicados, se ha identificado uno que se hace pasar por una biblioteca legítima de WhatsApp Web API, pero que en realidad incluye código malicioso.

Este paquete es una bifurcación del proyecto WhiskeySockets Baileys, que proporciona funciones para crear bots o automatizaciones en WhatsApp Web pensadas para usarse posteriormente en la aplicación.

Sin embargo, publicado con el nombre ‘lotusbail’, este paquete identificado por la compañía de seguridad Koi Security también ofrece la capacidad de robar tokens de autenticación y claves de sesión de WhatsApp, así como interceptar los mensajes enviados y recibidos para acceder a su contenido y robar los archivos multimedia, como fotografías, audios y vídeos.

Concretamente, según han explicado los investigadores de seguridad en un comunicado, el paquete permite robar los mensajes porque afecta al cliente ‘WebSocket’ legítimo que se comunica con WhatsApp y que recibe todos los mensajes de la aplicación antes de

«Al autenticarte, el contenedor captura tus credenciales. Cuando llegan mensajes, los intercepta. Cuando envías mensajes, los registra. La funcionalidad legítima continúa funcionando con normalidad; el ‘malware’ simplemente añade un segundo destinatario para todo», ha explicado la compañía.

Asimismo, los datos capturados se cifran mediante una implementación RSA completa y personalizada, de manera que los datos queden cifrados antes de la exfiltración para «que la monitorización red no los detecte».

Por otra parte, los actores maliciosos también pueden utilizar este sistema para controlar la cuenta del usuario y acceder a sus conversaciones de forma invisible. Esto se debe a que el paquete está equipado con una función maliciosa que vincula el dispositivo del atacante a la cuenta de WhatsApp de la víctima, mediante el proceso de emparejamiento del dispositivo de la red social.

Concretamente, se solicita generar una cadena aleatoria de 8 caracteres, se introduce en el nuevo dispositivo y se consigue vincularlo, ya que el ‘malware’ secuestra el proceso con un código de emparejamiento también codificado.

Con todo ello, para evitar el acceso a la cuenta, se recomienda que los usuarios revisen los dispositivos vinculados en la sección de ‘Ajustes’ y, en caso de visualizar algún dispositivo desconocido, desvincularlo de su cuenta automáticamente.

Este paquete con código malicioso lleva a activo seis meses y, según los investigadores de ciberseguridad, ya cuenta con 56.000 descargas en npm. En este marco, recomiendan a los desarrolladores monitorizar el comportamiento de la plataforma en tiempo de ejecución para detectar actividad inesperada y saber si se está utilizando el código malicioso.

Asimismo, también han advertido que al desinstalar el paquete npm se elimina el código malicioso, pero el dispositivo del actor de amenazas permanece vinculado a la cuenta de WhatsApp, por lo que se ha de desvincular manualmente.

Nota recomendada: El triángulo de la seguridad: Entendiendo la interacción crítica entre frenos, suspensión y ruedas