Un paquete malicioso alojado en npm permitió el robo de mensajes y credenciales de usuarios que lo integraron en sus proyectos.
La firma de ciberseguridad Koi Security detectó un paquete malicioso dentro del Node Package Manager (npm) que se hace pasar por una biblioteca legítima de WhatsApp Web, pero que en realidad permite extraer mensajes, archivos multimedia, contactos y credenciales de acceso sin que el usuario lo note.
El paquete, identificado como “lotusbail”, permaneció activo durante al menos seis meses y acumuló más de 56 mil descargas, lo que amplía el alcance del riesgo para desarrolladores y empresas que lo incorporaron en aplicaciones o servicios digitales.
¿Cómo funciona el paquete malicioso?
De acuerdo con Koi Security, el software se presentaba como una herramienta funcional para interactuar con WhatsApp Web, lo que facilitó su adopción. Sin embargo, una vez instalado, ejecutaba código oculto capaz de interceptar información sensible.
El malware recopilaba mensajes privados, contenidos multimedia y datos de autenticación, y posteriormente los enviaba a servidores externos controlados por los atacantes. Este proceso ocurría de manera silenciosa, sin generar alertas visibles en los sistemas afectados.
¿Por qué representa un riesgo mayor?
El npm es uno de los administradores de paquetes más utilizados por desarrolladores de JavaScript, lo que convierte a este tipo de ataques en una amenaza de alto impacto. Al integrarse en proyectos legítimos, el paquete malicioso podía afectar no solo a desarrolladores, sino también a usuarios finales de las aplicaciones creadas con esa librería.
Especialistas advierten que este caso evidencia una vulnerabilidad estructural en los ecosistemas de software de código abierto, donde la confianza en paquetes externos puede ser aprovechada para distribuir malware a gran escala.
¿Qué recomiendan los expertos?
Koi Security recomendó eliminar de inmediato el paquete “lotusbail”, revisar proyectos donde se haya integrado y rotar credenciales potencialmente comprometidas. Además, llamó a los desarrolladores a verificar el origen de las librerías, revisar el código y utilizar herramientas de monitoreo de seguridad.
El caso refuerza la necesidad de auditorías constantes en dependencias de software, especialmente cuando se trata de servicios que manejan comunicaciones privadas como WhatsApp.
