Un paquete malicioso de Node Package Manager (npm) para WhatsApp Web permite a actores maliciosos acceder sin problemas a mensajes de usuario, archivos multimedia, contactos y contraseñas haciéndose pasar por una biblioteca legítima que ya cuenta con 56.000 descargas.
El servicio npm es un administrador de paquetes de software utilizado por desarrolladores de JavaScript que publican paquetes para diversas funciones. Así, entre los paquetes liberados se identificó uno que pretende ser una biblioteca legítima de WhatsApp Web API, pero que en realidad incluye código malicioso.
Este paquete es una bifurcación del proyecto WhiskeySockets Baileys, que proporciona funcionalidad para crear bots o automatizaciones en WhatsApp Web para su uso posterior en la aplicación.
Sin embargo, lanzado bajo el nombre ‘lotusbail’, este paquete identificado por la firma de seguridad Koi Security también ofrece la posibilidad de robar tokens de autenticación y claves de sesión de WhatsApp, así como interceptar mensajes enviados y recibidos para acceder a su contenido y robar archivos multimedia, como fotos, audio y vídeos.
En concreto, como explican en un comunicado los investigadores de seguridad, el paquete permite el robo de mensajes porque afecta al cliente legítimo ‘WebSocket’ que se comunica con WhatsApp y que previamente recibe todos los mensajes de la app.
«Cuando te autentificas, el contenedor captura tus credenciales. Cuando llegan los mensajes, los intercepta. Cuando envías mensajes, los registra. La funcionalidad legítima sigue funcionando normalmente; el ‘malware’ simplemente agrega otro destinatario para todo», explicó la empresa.
Del mismo modo, los datos capturados se cifran mediante una implementación RSA completa y personalizada, por lo que los datos se cifran antes de la exfiltración para que sean «indetectables para la vigilancia de la red».
Por otro lado, los actores maliciosos también pueden utilizar este sistema para controlar la cuenta de un usuario y acceder de forma invisible a sus conversaciones. Esto se debe a que el paquete está equipado con una función maliciosa que conecta el dispositivo del atacante con la cuenta de WhatsApp de la víctima, a través del proceso de emparejamiento de dispositivos de la red social.
Específicamente, solicita que se genere una cadena aleatoria de 8 caracteres, se introduzca en un nuevo dispositivo y se empareje, ya que el malware secuestra el proceso con el código de emparejamiento también codificado.
Además de todo esto, para evitar el acceso a la cuenta, se recomienda que los usuarios revisen los dispositivos conectados en la sección ‘Configuración’ y, si se muestra un dispositivo desconocido, lo desconecten automáticamente de su cuenta.
Este paquete de código malicioso lleva seis meses activo y, según investigadores de ciberseguridad, ya cuenta con 56.000 descargas en npm. En este marco, recomiendan que los desarrolladores monitoreen el comportamiento del tiempo de ejecución de la plataforma para detectar actividad inesperada y saber si se está utilizando código malicioso.
Asimismo, también advirtieron que al desinstalar el paquete npm se elimina el código malicioso, pero el dispositivo del actor de la amenaza permanece conectado a la cuenta de WhatsApp, por lo que se debe eliminar manualmente.
Nota recomendada: El triángulo de la seguridad: comprender la interacción crítica entre frenos, suspensión y ruedas
