¡Alerta! Más de 56.000 usuarios infectados por el malware "lotusbail" en WhatsApp
Un paquete malicioso distribuido a través de WhatsApp recopiló mensajes, contactos y archivos de más de 56.000 usuarios durante seis meses sin ser detectado.
WhatsApp es la aplicación de mensajería más utilizada en todo el mundo, y por ello se encuentra en la mira de los ciberdelincuentes, que buscan cualquier vulnerabilidad para infiltrarse en el sistema e infectar millones de dispositivos.
Recientemente, la firma de ciberseguridad Koi Security ha identificado un paquete malicioso alojado en un repositorio popular que ha estado recopilando información privada de los usuarios durante meses.
Los investigadores determinaron que el origen del problema era una librería distribuida a través de npm, el principal gestor de paquetes para JavaScript. El paquete, bautizado como lotusbail, superó las 56.000 descargas al presentarse como un fork funcional de Baileys, un proyecto legítimo utilizado para desarrollar sistemas de automatización basados en WhatsApp Web.
El engaño de la herramienta residía en que cumplía correctamente con sus funciones prometidas dado que permitía desarrollar aplicaciones sobre WhatsApp. Sin embargo, actuaba como un intermediario oculto, ya que todo el tráfico pasaba primero por el código malicioso. Durante la autenticación, el paquete capturaba credenciales y registraba cada mensaje enviado o recibido.
Además de los mensajes de texto, el malware filtraba listas completas de contactos, archivos multimedia, documentos compartidos e incluso tokens de inicio de sesión. También incluía una función que vinculaba automáticamente el dispositivo del atacante a la cuenta de la víctima mediante el sistema oficial de Dispositivos vinculados de WhatsApp. Esto significa que, incluso tras eliminar la librería infectada, el atacante podía mantener acceso indefinido a la cuenta mientras su dispositivo permaneciera autorizado.
Aunque el ataque estaba dirigido principalmente a desarrolladores que integraron Baileys en sus proyectos, los usuarios finales de estas herramientas también podrían haber sido afectados.
Por ello, los expertos recomiendan revisar la sección de “Dispositivos vinculados” en WhatsApp y cerrar inmediatamente cualquier sesión sospechosa para proteger la cuenta.