El hallazgo de lotusbail, un paquete malicioso publicado en el repositorio npm, vuelve a poner en primer plano los riesgos de los ataques a la cadena de suministro de software. Este módulo se presentaba como una biblioteca legítima para integrar la WhatsApp Web API, mientras incorporaba funcionalidades ocultas de espionaje y robo de credenciales.
Paquete malicioso lotusbail disfrazado de biblioteca para WhatsApp Web
Lotusbail era un fork de WhiskeySockets Baileys, uno de los proyectos más utilizados para automatizar e integrar WhatsApp Web en bots, paneles internos y servicios de atención al cliente. Según el análisis de Koi Security, el paquete permaneció disponible en npm durante al menos seis meses y acumuló más de 56 000 descargas, lo que sugiere una superficie de exposición significativa tanto para desarrolladores como para organizaciones.
La clave de su éxito fue que sí proporcionaba la funcionalidad esperada: actuaba como cliente de WhatsApp Web API y se comportaba, a primera vista, como cualquier dependencia legítima. Esta combinación de utilidad real y código malicioso oculto es característica de los ataques modernos a la software supply chain, ya observados en otros incidentes relevantes de npm y PyPI.
Cómo funcionaba la amenaza: espionaje, robo de tokens y control de sesiones
Control de autenticación y sesiones de WhatsApp Web
De acuerdo con Koi Security, el código malicioso de lotusbail se integraba como una capa envolvente sobre el cliente WebSocket legítimo utilizado para comunicarse con los servidores de WhatsApp. Toda la comunicación entre la aplicación y WhatsApp pasaba primero por esta capa, lo que permitía interceptar tokens de autenticación, claves de sesión y contenido de mensajes.
Esto incluía mensajes entrantes y salientes, listas de contactos y también archivos adjuntos (imágenes, documentos y otros medios). En la práctica, cualquier aplicación que incorporara lotusbail quedaba convertida, sin saberlo, en una herramienta de monitorización completa de las cuentas de WhatsApp de sus usuarios.
Ofuscación avanzada y cifrado de datos robados
Los datos capturados no se enviaban en claro a la infraestructura de los atacantes. El paquete empleaba una implementación personalizada de RSA combinada con varias capas de ofuscación: manipulación de Unicode, compresión mediante LZString y cifrado simétrico AES. Esta cadena de transformaciones dificulta notablemente el reverse engineering y la detección basada en firmas.
Solo tras aplicar todos estos pasos de cifrado y ofuscación, la información se transmitía a los servidores de comando y control de los atacantes. En un análisis superficial del tráfico, esta actividad podía confundirse con un intercambio legítimo de datos cifrados, lo que complicaba su identificación mediante reglas simples de monitorización.
Persistencia mediante dispositivos vinculados de WhatsApp
Un aspecto especialmente crítico del ataque fue el uso del mecanismo oficial de “Dispositivos vinculados” de WhatsApp. Lotusbail era capaz de enlazar un dispositivo controlado por los atacantes a la cuenta de la víctima aprovechando el modo multidispositivo de la plataforma.
Gracias a esta técnica, los atacantes podían mantener acceso prolongado a conversaciones y nuevos mensajes incluso si el paquete malicioso se eliminaba más adelante del proyecto o del entorno de ejecución. Mientras la víctima no revisara manualmente la sección “Dispositivos vinculados” y revocara las sesiones sospechosas, el acceso remoto continuaba activo.
Por qué el paquete malicioso lotusbail pasó desapercibido durante meses
El análisis revela que el código incluía al menos 27 trampas con bucles infinitos y otras técnicas de anti-depuración diseñadas para entorpecer tanto el análisis estático como el dinámico automatizado. Estas estrategias son habituales en malware avanzado y buscan desincentivar o bloquear el trabajo de herramientas automáticas de análisis de seguridad.
Además, lotusbail se presentaba como un fork razonable de un proyecto popular de código abierto, y su funcionalidad aparente coincidía con las expectativas de los desarrolladores. En muchos equipos, las dependencias “infraestructurales” se revisan solo por encima y rara vez se monitoriza su comportamiento en tiempo de ejecución, lo que abre la puerta a este tipo de amenazas de cadena de suministro.
Recomendaciones de ciberseguridad para desarrolladores y empresas
Medidas urgentes para quienes hayan usado lotusbail
Las organizaciones y equipos de desarrollo que hayan incorporado lotusbail en algún proyecto deberían:
- Eliminar de inmediato el paquete del código, del entorno de compilación y de cualquier imagen de contenedor afectada.
- Realizar un inventario completo de repositorios, ramas antiguas y entornos de prueba donde pudiera haberse utilizado.
- Revisar en WhatsApp la sección “Dispositivos vinculados” y revocar toda sesión desconocida o sospechosa.
- Rotar claves, tokens y credenciales asociadas a integraciones o bots de WhatsApp, asumiendo que pueden haberse visto comprometidas.
Fortalecer la seguridad en npm y en la cadena de suministro
Para reducir el riesgo de incidentes similares, es recomendable adoptar prácticas sistemáticas de seguridad en dependencias y supply chain:
- Complementar la revisión de código con análisis dinámico en sandbox, prestando atención al tráfico saliente y a operaciones sobre archivos.
- Monitorizar conexiones externas anómalas, especialmente durante procesos de autenticación o interacción con servicios sensibles como mensajería y pagos.
- Utilizar herramientas de Software Composition Analysis (SCA), archivos de bloqueo (lockfiles) y artefactos firmados para controlar versiones y procedencia.
- Aplicar estrictamente el principio de mínimo privilegio a servicios que consumen APIs externas, limitando tokens, alcances y permisos.
- Formalizar el proceso de incorporación de nuevos paquetes npm: code review manual, comprobación de reputación del autor y detección de forks sospechosos de bibliotecas populares.
La aparición de lotusbail confirma que incluso dependencias conocidas pueden convertirse en vectores silenciosos de espionaje y robo de datos. Implantar controles de seguridad sobre las bibliotecas de terceros, monitorizar el comportamiento en tiempo de ejecución y educar a los equipos sobre los ataques a la cadena de suministro ya no es opcional: es un requisito básico para desarrollar software seguro y proteger tanto la infraestructura empresarial como la privacidad de los usuarios.
