كشف باحثون في الأمن السيبراني عن تفاصيل حزمة خبيثة جديدة على مستودع npm تحمل اسم lotusbail، تعمل كواجهة برمجية كاملة للتفاعل مع واتساب، لكنها في الواقع تتضمن قدرات خطيرة لاعتراض الرسائل وربط جهاز المهاجم بحساب الضحية. منذ رفعها في مايو 2025، تم تحميلها أكثر من 56 ألف مرة، ولا تزال متاحة للتنزيل حتى الآن.
سرقة بيانات واعتراض المحادثات
الحزمة قادرة على جمع رموز المصادقة ومفاتيح الجلسات وسجلات الرسائل وقوائم الاتصال والملفات، ثم إرسالها مشفرة إلى خادم المهاجم. الأخطر أنها تستغل عملية ربط الأجهزة عبر رمز ثابت، ما يمنح المهاجم وصولاً دائماً إلى حساب واتساب حتى بعد إزالة الحزمة من النظام. هذا يعني أن الضحية قد يظل مخترقاً دون علمه، طالما لم يقم بفصل الجهاز المرتبط من إعدادات التطبيق.
تقنيات إخفاء متقدمة ومقاومة للتحليل
وفقاً لشركة Koi Security، يبدأ النشاط الخبيث بمجرد استخدام المطور للمكتبة للاتصال بواتساب، حيث يلتف الكود الخبيث حول عميل WebSocket ويبدأ في اعتراض الرسائل. كما أن الحزمة مزودة بقدرات مضادة للتصحيح، تدخلها في حلقة لا نهائية عند اكتشاف أدوات تحليل، ما يعطل التنفيذ ويصعّب كشفها. هذه الأساليب تعكس تطوراً ملحوظاً في هجمات سلسلة التوريد، حيث ينجح المهاجمون في تمرير برمجيات تعمل بشكل طبيعي لكنها تخفي وظائف إضافية خطيرة.
هجمات موازية تستهدف مجتمع العملات المشفرة
بالتوازي، كشفت شركة ReversingLabs عن 14 حزمة خبيثة على منصة NuGet تنتحل مكتبات مرتبطة بالبلوك تشين مثل Nethereum، بهدف إعادة توجيه الأموال إلى محافظ المهاجمين أو سرقة المفاتيح الخاصة وعبارات الاستعادة. من بين هذه الحزم: binance.csharp، coinbase.net.api، وgoogleads.api. الأخيرة تستهدف بيانات OAuth الخاصة بإعلانات جوجل، ما يمنح المهاجمين وصولاً كاملاً لإدارة الحملات الإعلانية وإنفاق أموال الضحايا بلا حدود.
هذه الحوادث تؤكد أن هجمات سلسلة التوريد البرمجية باتت أكثر تعقيداً وانتشاراً، وأن المطورين بحاجة إلى تدقيق صارم في مصادر المكتبات المفتوحة قبل دمجها في مشاريعهم.
