Un paquete ladino del administrador Administrador de paquetes de nodos (NPM) para WhatsApp Web permite a actores maliciosos obtener a los mensajes, archivos multimedia, contactos y claves de camino de los usuarios forma indetectable, al hacerse sobrevenir por una biblioteca legítima que ya cuenta con 56,000 descargas.

El servicio MNP es un administrador de paquetes de ‘software’ utilizado por desarrolladores de JavaScript que publican paquetes para distintas funciones. Así, interiormente de los paquetes publicados, se ha identificado uno que se hace sobrevenir por una biblioteca legítima de WhatsApp Web API, pero que en sinceridad incluye código ladino.

Este paquete es una ramificación del plan WhiskeySockets Baileys, que proporciona funciones para crear bots o automatizaciones en WhatsApp Web pensadas para estar de moda seguidamente en la aplicación.

Sin retención, publicado con el nombre ‘lotusbail’, este paquete identificado por la compañía de seguridad Koi Security incluso ofrece la capacidad de robar tokens de autenticación y claves de sesión de WhatsApp, así como interceptar los mensajes enviados y recibidos para obtener a su contenido y robar los archivos multimedia, como fotografías, audios y vídeos.

Concretamente, según han explicado los investigadores de seguridad en un comunicado, el paquete permite robar los mensajes porque afecta al cliente ‘WebSocket’ seguro que se comunica con WhatsApp y que recibe todos los mensajes de la aplicación antiguamente de

“Al autenticarte, el contenedor captura tus credenciales. Cuando llegan mensajes, los intercepta. Cuando envías mensajes, los registra. La funcionalidad legítima continúa funcionando con normalidad; el ‘malware’ simplemente añade un segundo destinatario para todo”, ha explicado la compañía.

Asimismo, los datos capturados se cifran mediante una implementación RSA completa y personalizada, de modo que los datos queden cifrados antiguamente de la exfiltración para “que la monitorización red no los detecte”.

Por otra parte, los actores maliciosos incluso pueden utilizar este sistema para controlar la cuenta del usufructuario y obtener a sus conversaciones de forma invisible. Esto se debe a que el paquete está equipado con una función maliciosa que vincula el dispositivo del atacante a la cuenta de WhatsApp de la víctima, mediante el proceso de emparejamiento del dispositivo de la red social.

Concretamente, se solicita difundir una cautiverio aleatoria de 8 caracteres, se introduce en el nuevo dispositivo y se consigue vincularlo, ya que el ‘malware’ secuestra el proceso con un código de emparejamiento incluso codificado.

Con todo ello, para evitar el camino a la cuenta, se recomienda que los usuarios revisen los dispositivos vinculados en la sección de ‘Ajustes’ y, en caso de visualizar algún dispositivo desconocido, desvincularlo de su cuenta automáticamente.

Este paquete con código ladino lleva a activo seis meses y, según los investigadores de ciberseguridad, ya cuenta con 56,000 descargas en MNP. En este entorno, recomiendan a los desarrolladores monitorizar el comportamiento de la plataforma en tiempo de ejecución para detectar actividad inesperada y asimilar si se está utilizando el código ladino.

Asimismo, incluso han ducho que al desinstalar el paquete MNP se elimina el código ladino, pero el dispositivo del actor de amenazas permanece vinculado a la cuenta de WhatsApp, por lo que se ha de desvincular manualmente.