كشف باحثون في الأمن السيبراني عن تفاصيل حزمة خبيثة جديدة على مستودع npm تحمل اسم “lotusbail”، تعمل كأداة كاملة للتفاعل مع واجهة واتساب، لكنها تخفي في طياتها قدرات خطيرة لسرقة بيانات المستخدمين. الحزمة، التي رفعها مستخدم باسم “seiren_primrose” في مايو 2025، جرى تنزيلها أكثر من 56 ألف مرة، بينها 711 عملية تنزيل خلال الأسبوع الأخير، ولا تزال متاحة حتى لحظة كتابة التقرير.
آلية عمل الحزمة الخبيثة واستهداف الحسابات
تقوم “lotusbail” باعتراض كل رسالة يتم إرسالها أو استقبالها عبر التطبيق، كما تستولي على رموز المصادقة ومفاتيح الجلسات وسجل المحادثات وقوائم الأرقام والملفات والوسائط. الأخطر أنها تستغل آلية ربط الأجهزة في واتساب عبر رمز اقتران ثابت، ما يسمح للمهاجم بربط جهازه بحساب الضحية بشكل دائم دون علمه. وبذلك يحصل المهاجم على وصول مستمر حتى بعد إزالة الحزمة من النظام، طالما لم يقم المستخدم بفصل الجهاز المرتبط من إعدادات واتساب.
خلفيات الهجوم وسياق أوسع في سلاسل التوريد البرمجية
الحزمة مستوحاة من مكتبة مشهورة تدعى @whiskeysockets/baileys، وهي مكتبة شرعية تعتمد على WebSockets للتفاعل مع واجهة واتساب ويب. لكن “lotusbail” تضيف طبقة خبيثة عبر مغلف WebSocket يوجه البيانات إلى خادم يسيطر عليه المهاجم. كما زُوّدت بقدرات مضادة للتصحيح، إذ تدخل في حلقة لا نهائية عند محاولة فحصها بأدوات تحليل، ما يعطل التنفيذ ويخفي نشاطها. هذه الأساليب تعكس تطور هجمات سلسلة التوريد، حيث تمرر البرمجيات الخبيثة نفسها كأدوات شرعية، وتستغل ثقة المطورين في عدد التنزيلات وتحديثات الإصدارات.
هجمات متزامنة تستهدف بيئة العملات المشفرة
في سياق متصل، أعلنت شركة ReversingLabs عن اكتشاف 14 حزمة خبيثة على منصة NuGet تنتحل مكتبات مرتبطة بتقنية البلوك تشين مثل Nethereum، وتستهدف تحويل الأموال إلى محافظ يسيطر عليها المهاجمون أو سرقة المفاتيح الخاصة وعبارات الاستعادة. من بين هذه الحزم أسماء مثل binance.csharp وcoinbase.net.api وgoogleads.api، والأخيرة تركز على سرقة بيانات مصادقة إعلانات جوجل، ما يمنح المهاجمين وصولاً كاملاً إلى حسابات الإعلانات وإمكانية التلاعب بالحملات وإنفاق أموال الضحايا بلا حدود. هذه الحملة بدأت منذ يوليو 2025، واعتمدت على تضخيم أعداد التنزيلات ونشر تحديثات متكررة لإيهام المستخدمين بأنها أدوات موثوقة.
