Investigadores de Koi Security han revelado la existencia de ‘lotusbail’, un paquete malicioso alojado en el repositorio npm que, disfrazado como una API de WhatsApp, se dedica a robar mensajes, contactos y credenciales de acceso. Esta amenaza ha sido descargada más de 56,000 veces, lo que permite a los atacantes infiltrarse en las cuentas de forma casi imperceptible.

El paquete, creado por un usuario llamado ‘seiren_primrose’ y publicado en mayo de 2025, aparenta ser una API eficaz para interactuar con WhatsApp. Sin embargo, en su interior oculta funciones que permiten la interceptación de mensajes y conectan dispositivos de los atacantes a cuentas ajenas.

Desde su subida, se han contabilizado 711 descargas solo en la última semana. A pesar de ser una herramienta peligrosa, continúa accesible para nuevos usuarios, aumentando potencialmente el riesgo de nuevos ataques.

Tuval Admoni, quien lidera la investigación, explica que este malware permite «robar tus credenciales de WhatsApp, interceptar mensajes, recopilar contactos e instalar una puerta trasera persistente». Se inspira en bibliotecas legítimas, en particular en @whiskeysockets/baileys, pero introduce un contenedor WebSocket malicioso que desvía la información recopilada hacia servidores de atacantes.

Este mecanismo permite que, al integrar la biblioteca, los usuarios no solo activan su propia aplicación, sino que también vinculan el dispositivo del atacante, garantizando acceso continuo incluso después de que la amenaza sea eliminada del sistema.

Para desvincular el acceso no autorizado, los usuarios deben ingresar a la configuración de WhatsApp y eliminar manualmente los dispositivos desconocidos conectados. La activación del malware sucede al usar la biblioteca para conectar una aplicación a WhatsApp, percatándose del ataque solo al empezar a enviar y recibir mensajes.

Este proceso no requiere ninguna acción adicional, lo que hace que el malware pase desapercibido en el uso diario. Además, la implementación de técnicas anti-depuración complica la tarea de los expertos en seguridad por la habilidad del software de detectarse a sí mismo durante el análisis.

Koi Security advierte que los ataques dirigidos a la cadena de suministro son cada vez más sofisticados. Los métodos de detección tradicionales se muestran insuficientes para identificar este tipo de amenazas, permitiendo que el malware se camufle entre herramientas legítimas mucho más tiempo del racionalmente esperado. La detección de ‘lotusbail’ coincide con el brote de otros paquetes maliciosos destinados a desarrolladores, como los 14 paquetes NuGet que suplantan herramientas populares en el entorno .NET.

Estos ataques han sido planeados para redirigir fondos de transacciones a billeteras controladas por ciberdelincuentes o extraer claves privadas durante operaciones de transferencia. Los nombres de los paquetes maliciosos incluyen términos relacionados con criptomonedas que añaden una capa de engaño y confianza en los desarrolladores que los utilizan.

Las tácticas de los atacantes, como incrementar artificialmente la cantidad de descargas y realizar actualizaciones frecuentes para simular actividad legítima, han contribuido a la propagación de esta campaña dañina, activa desde julio de 2025.