Netcrook Logo
👤 LOGICFALCON
🗓️ 23 Dec 2025  

تنكر البرمجيات الخبيثة: كيف تسللت مكتبة واتساب مزيفة إلى آلاف مشاريع المطورين

العنوان الفرعي: حزمة npm خبيثة تجسست سراً على مستخدمي واتساب، كاشفة المخاطر الخفية لسلاسل التوريد مفتوحة المصدر.

بدأ الأمر كاختصار للمطورين: تثبيت حزمة npm ذات تقييمات جيدة لربط تطبيق Node.js بواتساب. لكن بالنسبة لأكثر من 56,000 مستخدم غير متوقع، تحول هذا الاختصار إلى باب خلفي. لم تكن حزمة “lotusbail” مجرد مكتبة مفيدة - بل كانت أداة تجسس مصممة بعناية، تقوم بسحب الدردشات الخاصة وبيانات الاعتماد والملفات بهدوء إلى مهاجم مجهول. تكشف هذه الحادثة حقيقة مرعبة: حتى الشيفرة مفتوحة المصدر، التي تشكل العمود الفقري للبرمجيات الحديثة، يمكن تسليحها أمام أعين الجميع.

تشريح عملية سرقة صامتة

على عكس البرمجيات الخبيثة التقليدية التي تثير الإنذارات بسرعة، لعبت Lotusbail لعبة طويلة الأمد. قدمت بالضبط ما توقعه المطورون: تكامل سلس مع واتساب لتطبيقات Node.js. لكن في الخفاء، تم نسخ كل رسالة وجهة اتصال ومفتاح مصادقة بهدوء. أدخلت البرمجية الخبيثة نفسها في تيار الاتصال، واعترضت البيانات المتنقلة بين التطبيقات وخوادم واتساب.

ما جعل Lotusbail خبيثة بشكل خاص هو تعقيدها التقني. لم تُرسل البيانات المسروقة كنص عادي - بل تم تشفيرها بنظام RSA مخصص، مما جعل حركة الشبكة تبدو غير ضارة لأدوات المراقبة التقليدية. في الوقت نفسه، كان الوجهة الحقيقية للبيانات - خادم القيادة والتحكم - مدفونة تحت أربع طبقات من التمويه، بما في ذلك الضغط وجولات متعددة من التشفير. هذا ضمن أن حتى مراجعي الشيفرة الدقيقين أو الماسحات التلقائية لن يلاحظوا التهديد بسهولة.

لم يتوقف الخداع عند سرقة البيانات. باستغلال آلية ربط الأجهزة في واتساب، ربطت Lotusbail جهازاً يتحكم به المهاجم بكل حساب مخترق. حتى إذا أزال الضحايا الحزمة، ظل وصول المهاجم قائماً، مما يتطلب من المستخدمين قطع جميع الاتصالات بالأجهزة يدوياً من داخل واتساب نفسه. هذا الباب الخلفي الدائم حول اختصاراً برمجياً بسيطاً إلى كابوس طويل الأمد للخصوصية.

ولزيادة الطين بلة، نشرت الحزمة 27 خدعة لمكافحة التصحيح. أي محاولة لتحليل أو عكس هندسة الشيفرة كانت تؤدي إلى تجمد أو تضليل، مما أحبط الباحثين الأمنيين ومنح المهاجمين مزيداً من الوقت للعمل دون اكتشاف.

دروس من الظلال

حادثة Lotusbail هي جرس إنذار لمجتمع المصدر المفتوح والمطورين في كل مكان. الدفاعات التقليدية - مثل تحليل الشيفرة الثابتة ودرجات السمعة - ثبت أنها عاجزة أمام حزمة تتصرف بشكل طبيعي على السطح بينما تخفي فساداً عميقاً ومشفراً. يحث خبراء الأمن الآن على التحول نحو التحليل السلوكي: مراقبة ما تفعله الشيفرات الخارجية فعلاً، وليس فقط ما تدعي أنها تفعله.

ومع تعقّد سلاسل توريد البرمجيات أكثر فأكثر، تظل قصة Lotusbail تذكرة صارخة: ثق، لكن تحقق - لأن أحياناً حتى الشيفرة الأكثر ودية تخفي لصاً.

ويكيكروك

  • حزمة npm: حزمة NPM هي حزمة قابلة لإعادة الاستخدام من شيفرة جافاسكريبت تتم مشاركتها عبر مدير حزم Node، مما يسهل مشاركة الشيفرة وتحسين المشاريع.
  • تشفير RSA: تشفير RSA هو طريقة أمان تستخدم أرقاماً كبيرة ومفتاحين للحفاظ على أمان البيانات، مما يجعل الوصول غير المصرح به شبه مستحيل.
  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم قيادة وتحكم، لتوجيهه لتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
  • تمويه الشيفرة: تمويه الشيفرة هو ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعباً على البشر أو أدوات الأمان.
  • مضاد: "مضاد" يشير إلى الأساليب التي تستخدمها البرمجيات الخبيثة لتجنب الاكتشاف أو التحليل من قبل أدوات وباحثي الأمان، مما يجعل التهديدات أصعب في الدراسة أو الإيقاف.
Malware WhatsApp Open-source
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news