كشف باحثون في الأمن السيبراني عن تفاصيل حزمة خبيثة جديدة باسم lotusbail على منصة npm، وهي مكتبة برمجية تعمل كواجهة لبرمجة تطبيقات WhatsApp لكنها تحتوي على وظائف خفية تمكن المهاجم من سرقة الرسائل وجهات الاتصال، والاستحواذ على رمز الدخول، وتثبيت باب خلفي يتيح له الوصول الدائم إلى الحساب المستهدف.
حمل مستخدمون الحزمة، التي طرحها مستخدم يدعى seiren_primrose منذ مايو 2025، أكثر من 56 ألف مرة، بينها 711 تحميلاً خلال الأسبوع الأخير فقط، ولا تزال متاحة للتنزيل حتى لحظة إعداد هذا التقرير.
ووفقاً لتقرير صادر عن باحث الأمن السيبراني Tuval Admoni من شركة Koi Security، فإن هذه المكتبة تنفذ وظائف متقدمة تشمل:
- اعتراض رموز المصادقة ومفاتيح الجلسة
- جمع سجل الرسائل والوسائط
- استخراج جهات الاتصال مع أرقام الهواتف
- تثبيت باب خلفي مستمر
- إرسال جميع البيانات إلى خادم خارجي بعد تشفيرها
وتستند الحزمة في هيكلها إلى مكتبة شرعية تعرف باسم @whiskeysockets/baileys، وهي مكتبة تعتمد على WebSockets للتفاعل مع WhatsApp Web API، لكنها تستخدم WebSocket ضار لتحويل مسار البيانات واعتراض المعلومات الحساسة.
الأخطر من ذلك أن الحزمة تستغل عملية ربط الأجهزة في WhatsApp باستخدام رمز اقتران مضمن مسبقاً يسمح بربط جهاز المهاجم بحساب الضحية دون علمه، ويمنح المهاجم وصولاً دائماً حتى بعد إزالة المكتبة من النظام، ما دام الجهاز المرتبط لا يزال مفعلاً.
وقال الباحث Idan Dardikman أن تفعيل الهجوم يحدث تلقائياً عند استخدام المكتبة للتوصيل بـ WhatsApp فور المصادقة، دون الحاجة إلى تشغيل أي دوال برمجية إضافية.
وتتميز الحزمة أيضاً بقدرات مضادة لتقنيات التحليل البرمجي، إذ تدخل في حلقة لانهائية عند محاولة تصحيح الأخطاء باستخدام أدوات Debug، ما يجمد التنفيذ لتضليل الباحثين.
وأضافت Koi Security أن هذا النوع من الهجمات على سلاسل التوريد أصبح أكثر تطوراً، إذ يتم تمرير الحزم الخبيثة على أنها أدوات شرعية تعمل بكفاءة.
حملة موازية تستهدف أدوات البلوك تشين عبر حزم NuGet مزيفة
في سياق منفصل، كشف باحثو ReversingLabs عن 14 حزمة خبيثة على منصة NuGet، تنتحل مكتبات مرتبطة بتقنية Ethereum مثل Nethereum، وتستخدم لتحويل الأموال المشفرة إلى محافظ يديرها المهاجم، أو لسرقة العبارات السرية ومفاتيح التشفير الخاصة بالمستخدم.
وتشمل هذه الحزم:
- binance.csharp
- bitcoincore
- bybitapi.net
- coinbase.net.api
- googleads.api
- nbitcoin.unified
- nethereumnet
- nethereumunified
- netherеum.all
- solananet
- solnetall
- solnetall.net
- solnetplus
- solnetunified
استخدم المهاجمون تقنيات لخلق وهم الموثوقية، مثل تضخيم أعداد التنزيلات وتحديث الحزم بشكل متكرر، مع توقعات بدء هذه الحملة منذ يوليو 2025.
وبينما صمم المهاجمون معظم الحزم لسرقة بيانات المحافظ، كانت هناك استثناءات مثل googleads.api التي ركزت على سرقة بيانات OAuth لحسابات Google Ads، ومنح المهاجم القدرة الكاملة على إدارة الحملات الإعلانية، والوصول إلى بيانات الأداء، بل وحتى الإنفاق غير المحدود باسم الضحية.
