أعلنت فرق الأمن السيبراني عن كشف أداة خبيثة جديدة على مستودع npm الخاص بمطوري جافا سكريبت، تعمل كواجهة برمجية (API) كاملة لواتساب، لكنها تحتوي على وظيفة خفية تسمح بالتنصت على كل الرسائل وربط جهاز المهاجم بحساب واتساب WhatsApp الخاص بالضحية.
تفاصيل الحزمة الخبيثة في واتساب
الحزمة، المسماة “lotusbail”، تم تحميلها أكثر من 56,000 مرة منذ نشرها في مايو 2025 على المستودع من قبل مستخدم باسم “seiren_primrose”، منها 711 تحميلًا خلال الأسبوع الأخير. ولا تزال الحزمة متاحة للتحميل حتى وقت كتابة التقرير.
وبحسب تقرير نشرته شركة Koi Security، فإن الحزمة تحت غطاء أداة شرعية، تقوم بـ:
- سرقة بيانات اعتماد واتساب.
- التنصت على كل الرسائل المرسلة والمستلمة.
- جمع قوائم جهات الاتصال.
- تثبيت باب خلفي دائم يتيح للمهاجم الوصول المستمر للحساب.
- تشفير كل البيانات قبل إرسالها إلى خادم المهاجم.
كما صرح الباحث توڤال أدموني أن الحزمة مستوحاة من مكتبة @whiskeysockets/baileys الشرعية، المستخدمة للتفاعل مع واجهة واتساب ويب عبر WebSockets.
كيفية عمل الهجوم
تعمل الحزمة من خلال WebSocket خبيث يمر عبره كل من بيانات المصادقة والرسائل، مما يسمح للمهاجم بالاستيلاء على بيانات الاعتماد والدردشات. ويتم إرسال البيانات المسروقة بشكل مشفر إلى عنوان URL يسيطر عليه المهاجم.
لا يقتصر الأمر على ذلك، إذ تحتوي الحزمة على وظيفة خفية لإنشاء وصول دائم لحساب واتساب من خلال اختطاف عملية ربط الأجهزة باستخدام رمز ربط مدمج مسبقًا.
وفقًا لتصريحات أدموني:
“عند استخدام هذه المكتبة للمصادقة، لا يتم ربط تطبيقك فحسب، بل يُربط أيضًا جهاز المهاجم بحسابك على واتساب، مما يمنحه وصولًا كاملًا ومستمرًا دون علمك.”
تأثير الحزمة على المستخدمين
يتيح ربط جهاز المهاجم بالحساب الاستمرار في الوصول إلى جهات الاتصال والمحادثات، ويظل الوصول قائمًا حتى بعد إزالة الحزمة من النظام، ما لم يقم المستخدم بفصل الجهاز من إعدادات واتساب.
كما أشار الباحث إيدان دارديكمان من Koi Security إلى أن النشاط الخبيث يبدأ تلقائيًا بمجرد استخدام المكتبة للاتصال بواتساب، دون الحاجة إلى أي وظائف خاصة.
إجراءات مضادة وتعقيدات أمان إضافية
تحتوي الحزمة على قدرات مضادة للتصحيح (Anti-Debugging)، حيث تدخل في حلقة لانهائية عند اكتشاف أدوات تصحيح الأخطاء، مما يؤدي إلى توقف التنفيذ.
وأكد الباحثون أن هجمات سلسلة التوريد مثل هذه في تزايد مستمر، وأن الأنظمة التقليدية غالبًا ما تفشل في كشفها، حيث يظهر الكود كأنه يعمل بشكل طبيعي ويكسب ثقة المستخدمين بناءً على عدد التحميلات.
الخلاصة
هذا الكشف يسلط الضوء على أهمية توخي الحذر عند استخدام الأدوات البرمجية من مصادر خارجية، حتى لو بدت شرعية وشائعة. ويؤكد ضرورة مراجعة أجهزة واتساب المرتبطة وحماية الحسابات من الوصول غير المصرح به.
تجنّب أدوات واتساب غير الرسمية، حتى لو بدت موثوقة أو تعمل بشكل طبيعي.
راجع الأجهزة المرتبطة بحسابك من الإعدادات واحذف أي جهاز غير معروف فورًا.
لا تثبّت مكتبات غير ضرورية في مشاريعك، وخصوصًا نسخ fork غير موثقة.
راقب أي سلوك غريب مثل رسائل لم ترسلها أو جلسات تسجيل دخول غير متوقعة.
حدّث نظامك وأدواتك الأمنية باستمرار لتقليل مخاطر الاختراق.
لا تعتمد على عدد التحميلات فقط للحكم على أمان أي أداة.
اقرأ أيضًا: 6 أسباب لتفعيل أقوى ميزة أمان في أندرويد
المصدر
المصدر: سعودي اندرويد
مواضيع مشابهة
اخر المواضيع