“Fantasma en el Chat”: Biblioteca maliciosa de NPM secuestra 56,000 cuentas de WhatsApp en un ataque sigiloso a la cadena de suministro

Cuando el desarrollador “Alex” necesitó una forma rápida de añadir mensajería de WhatsApp a su proyecto, recurrió al repositorio de NPM - como lo han hecho decenas de miles más. Lo que no sabía: al instalar una biblioteca aparentemente inofensiva, estaba abriendo una puerta trasera oculta que entregaría silenciosamente sus credenciales, contactos y cada mensaje privado a un atacante sin rostro.

Investigadores de seguridad de Koi Security han descubierto un sofisticado ataque a la cadena de suministro que se ocultaba a plena vista. Durante seis meses, un paquete llamado “Lotusbail” - un fork de la legítima biblioteca Baileys para WhatsApp - permaneció sin ser detectado en el repositorio de NPM, acumulando silenciosamente más de 56,000 descargas. Promocionado como una herramienta sencilla para enviar y recibir mensajes de WhatsApp, Lotusbail era en realidad un lobo con piel de cordero, diseñado para capturar todo lo que pasaba por él.

Cada token de autenticación de WhatsApp, mensaje, contacto y archivo enviado a través de la API era interceptado por una función envoltorio antes de ser reenviado a su destino. Esta función luego cifraba los datos usando una implementación personalizada de RSA, haciendo que la detección por escáneres automáticos o herramientas de seguridad fuera casi imposible. El botín - credenciales, mensajes, listas de contactos - era entonces exfiltrado al servidor del atacante.

Pero el engaño de Lotusbail no se detenía en el robo de datos. El malware también secuestraba el proceso de emparejamiento de dispositivos de WhatsApp. Cada vez que un desarrollador usaba el paquete para autenticarse, sin saberlo vinculaba un dispositivo controlado por el atacante a su cuenta de WhatsApp. Esto daba a los adversarios acceso persistente y sigiloso - aun después de desinstalar el paquete. Las víctimas a menudo permanecían sin saberlo, ya que el dispositivo del atacante se mezclaba con los legítimos.

Koi Security advierte que simplemente eliminar el paquete malicioso no es suficiente. Los desarrolladores deben revisar y desvincular manualmente todos los dispositivos emparejados desde la configuración de WhatsApp para cortar completamente el acceso no autorizado. La sofisticación de la campaña queda aún más clara por sus numerosos controles para detectar depuradores y entornos sandbox, lo que indica un esfuerzo deliberado por evadir el análisis y maximizar la ventana de explotación.

Lotusbail es solo el último ejemplo de una tendencia inquietante: atacantes que aprovechan los ecosistemas de código abierto para inyectar código malicioso directamente en la cadena de suministro de software. Con decenas de miles de descargas, el radio de impacto es amplio - y las víctimas pueden no saber nunca que sus conversaciones privadas fueron comprometidas.

El incidente sirve como un recordatorio escalofriante para los desarrolladores: confía, pero verifica. A medida que las dependencias de código abierto se multiplican, también lo hacen las oportunidades para la infiltración criminal. En el mundo del software moderno, el verdadero peligro puede estar oculto a plena vista - a solo una instalación de distancia.

WIKICROOK

• NPM (Node Package Manager): npm es la principal plataforma para compartir y gestionar paquetes de JavaScript, permitiendo a los desarrolladores instalar y usar fácilmente bibliotecas de código en sus proyectos.
• Ataque a la cadena de suministro: Un ataque a la cadena de suministro es un ciberataque que compromete proveedores de software o hardware de confianza, propagando malware o vulnerabilidades a muchas organizaciones a la vez.
• Token de autenticación: Un token de autenticación es una clave digital que verifica tu identidad ante aplicaciones o servicios, permitiendo el acceso seguro sin volver a ingresar tu contraseña.
• WebSocket: WebSocket es un protocolo que mantiene un canal abierto entre tu navegador y un servidor, permitiendo el intercambio de mensajes en tiempo real y en ambas direcciones.
• Cifrado RSA: El cifrado RSA es un método de seguridad que utiliza números grandes y dos claves para mantener los datos seguros, haciendo que el acceso no autorizado sea casi imposible.