Netcrook Logo
👤 LOGICFALCON
🗓️ 26 Dec 2025  

كيف خدعت مكتبة واتساب مزيفة الآلاف: داخل فضيحة حصان طروادة lotusbail

العنوان الفرعي: حزمة NPM شهيرة استولت سراً على حسابات واتساب وسرقت المحادثات الخاصة، متجنبة الكشف لأشهر.

عندما قام المطور صموئيل م. بتسجيل الدخول إلى لوحة التحكم المتكاملة مع واتساب الأسبوع الماضي، لم يكن يعلم أن كل رسالة وصورة وجهة اتصال في حسابه قد تم نسخها بالفعل بصمت وإرسالها إلى مهاجم مجهول. الجاني؟ ليس رابط تصيد أو تطبيقاً خبيثاً، بل مكتبة برمجية تبدو موثوقة - lotusbail - تم تحميلها من قبل أكثر من 56,000 مطور غير مرتاب من مستودع حزم NPM.

حصان طروادة يختبئ في العلن

كشف باحثو الأمن السيبراني في Koi Security مؤخراً عن خدعة متطورة: lotusbail، حزمة جافاسكريبت مستخدمة على نطاق واسع، لم تكن مجرد اختصار تطوير - بل كانت حصان طروادة. تظاهرت الحزمة بأنها أداة شرعية لربط التطبيقات بواتساب، مقلدة عن كثب مكتبة @whiskeysockets/baileys الشهيرة. على مدى ستة أشهر، عملت دون أن تُكتشف، متكاملة في التطبيقات وجامعة بهدوء كميات هائلة من بيانات المستخدمين الحساسة.

وفقاً للباحث الرئيسي توفال أدموني، عملت البرمجية الخبيثة كتنصت مباشر. من خلال تغليف قناة الاتصال WebSocket، تمكنت lotusbail من نسخ كل رسالة وجهة اتصال ومستند تم إرساله عبر واتساب سراً. والأكثر إثارة للقلق، أنها اعترضت رموز المصادقة - المفاتيح الرقمية التي تتيح للمهاجمين الوصول إلى الحسابات دون الحاجة إلى كلمة مرور.

أساليب التخفي والوصول الدائم

لم يتوقف صانعو lotusbail عند سرقة البيانات. فقد طبقوا تشفير RSA مخصص لتشفير المعلومات المسروقة قبل مغادرتها جهاز الضحية، مما جعل اكتشافها شبه مستحيل بأدوات الأمان التقليدية. ولإحباط محاولات الهندسة العكسية، تم تزويد الكود بـ 27 "فخاً" - حلقات لا نهائية تجمد أي محاولة تحقيق في مهدها.

لكن ربما كانت الميزة الأكثر رعباً هي الباب الخلفي المدمج في عملية الإعداد. عندما استخدم المطور lotusbail للاتصال بواتساب، استولت البرمجية الخبيثة على إجراء ربط الجهاز، وقامت سراً بربط جهاز المهاجم بحساب الضحية. استمر هذا الاتصال حتى بعد حذف الكود الخبيث لاحقاً، مما منح المهاجمين وصولاً دائماً وغير مكتشف إلى محادثات وملفات واتساب الخاصة.

جرس إنذار للمطورين

يحذر خبراء الأمن من أن هذا الاختراق ليس حادثة معزولة. يقول جيمس ويكيت، الرئيس التنفيذي لشركة DryRun Security: "الأبواب الخلفية لا تحدث فقط للآخرين. إنها تحدث داخل المؤسسات الحقيقية، غالباً من خلال كود يبدو شرعياً للوهلة الأولى."

تعد حادثة lotusbail تذكيراً صارخاً: مجرد أن الكود "يعمل" لا يعني أنه آمن. يجب على المطورين وفرق الأمان تدقيق كل اعتماد - خاصة تلك التي تتعامل مع بيانات حساسة - والبقاء يقظين ضد التهديدات المتخفية بذكاء في العلن.

ما بعد الحادثة: طرد المتسللين

بالنسبة للمتضررين، فإن إزالة حزمة lotusbail وحدها لا تكفي. يجب على الضحايا فحص قائمة "الأجهزة المرتبطة" في واتساب يدوياً وإلغاء أي جلسات غير مألوفة لطرد المهاجمين فعلياً. ومع تعقّد سلاسل توريد البرمجيات أكثر فأكثر، تقدم هذه الحادثة درساً تحذيرياً: الثقة تُكتسب ولا تُفترض، واليقظة هي الدفاع الحقيقي الوحيد.

ويكيكروك

  • حزمة NPM: حزمة NPM هي حزمة قابلة لإعادة الاستخدام من كود جافاسكريبت يتم مشاركتها عبر مدير حزم Node، مما يتيح مشاركة الكود بسهولة وتحسين المشاريع.
  • حصان طروادة: حصان طروادة هو برنامج خبيث يتنكر كبرنامج غير ضار، مما يمكّن المهاجمين من الوصول إلى الحواسيب أو الشبكات وربما سرقة البيانات أو إحداث ضرر.
  • WebSocket: WebSocket هو بروتوكول يحافظ على قناة مفتوحة بين متصفحك والخادم، مما يسمح بتبادل الرسائل في الوقت الحقيقي وباتجاهين.
  • تشفير RSA: تشفير RSA هو طريقة أمان تستخدم أرقاماً كبيرة ومفتاحين للحفاظ على أمان البيانات، مما يجعل الوصول غير المصرح به شبه مستحيل.
  • رمز المصادقة: رمز المصادقة هو مفتاح رقمي يثبت هويتك للتطبيقات أو الخدمات، مما يسمح بالوصول الآمن دون إعادة إدخال كلمة المرور.
lotusbail Trojan horse data theft
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news