Netcrook Logo
👤 SECPULSE
🗓️ 22 Dec 2025  

حصان طروادة في npm: مكتبة خبيثة تستولي على حسابات واتساب وتتجسس على الرسائل

العنوان الفرعي: حزمة مفتوحة المصدر شهيرة قامت بسرية بسحب بيانات واتساب من آلاف المطورين والمستخدمين دون علمهم.

بدأ الأمر بأمر تثبيت بسيط. المطورون الذين كانوا يسعون لدمج وظائف واتساب في تطبيقاتهم لجأوا إلى حل مألوف: حزمة npm تعدهم بوصول سلس إلى واجهة برمجة تطبيقات الويب. لكن خلف هذا المظهر البسيط كان هناك عملية تجسس إلكتروني متطورة - عملية تسرق رموز المصادقة بهدوء، وتسحب الرسائل الخاصة، وتمنح المجرمين وصولاً دائماً إلى حسابات واتساب حول العالم.

تشريح هجوم سلسلة التوريد

نظام npm، وهو حجر الأساس في تطوير البرمجيات الحديثة، مبني على الثقة. المطورون يدمجون بشكل روتيني حزماً من أطراف ثالثة في مشاريعهم، بافتراض الأمان والنزاهة. استغلت حزمة "lotusbail" هذه الثقة، حيث تم تمويهها كفرع من مشروع Baileys الشرعي - وهو مكتبة معروفة لدمج واتساب ويب.

عند التثبيت، قدمت lotusbail جميع الميزات المتوقعة. لكن تحت السطح، كانت تغلف عميل WebSocket الحقيقي بشيفرة خبيثة. كل رسالة، وكل خطوة مصادقة، وكل نقل ملف كانت تمر بصمت عبر غلاف مخصص من المهاجم. تم اعتراض بيانات الاعتماد ومحتوى الرسائل، وتشفيرها باستخدام تقنيات متعددة الطبقات (RSA، AES، تمويه يونيكود، وضغط)، ثم إرسالها إلى خوادم بعيدة.

وربما كانت القدرة الأكثر خبثاً: ربط الأجهزة. فقد قامت lotusbail سراً بربط جهاز المهاجم بحساب واتساب الخاص بالضحية، مما منح وصولاً دائماً حتى بعد إزالة الشيفرة الخبيثة. هذا الاستمرارية تعني أن المستخدمين الحذرين، حتى بعد إزالة الحزمة، ظلوا معرضين للخطر ما لم يقوموا بمراجعة الأجهزة المرتبطة وإلغاء ربط غير المصرح به يدوياً من إعدادات واتساب.

كيف لم يُكتشف الأمر؟

حصّن صانعو lotusbail برمجيتهم الخبيثة بـ 27 فخاً من الحلقات اللانهائية وحيل مضادة للتصحيح، لإحباط تحليل الشيفرة الثابت والفحص أثناء التشغيل. هذه الطبقات من التمويه مكنت الحزمة من التهرب من الاكتشاف لأشهر، وجمعت عشرات الآلاف من التثبيتات قبل أن يكشف باحثو Koi Security وظيفتها الحقيقية.

ويحذر الخبراء من أن مراجعة الشيفرة المصدرية وحدها لا تكفي. يُنصح المطورون بمراقبة النشاط الشبكي بحثاً عن اتصالات صادرة مشبوهة، خاصة أثناء عمليات المصادقة مع الاعتمادات أو الحزم الجديدة وغير المألوفة.

الدلالات الأوسع

هذه الحادثة تذكير صارخ: هجمات سلسلة التوريد ليست تهديدات نظرية - بل هي نشطة، ومتطورة، وتزداد فعالية. ومع ازدياد أهمية البرمجيات مفتوحة المصدر للبنية التحتية الرقمية، يصبح اليقظة أمراً أساسياً. الثقة، إذا انكسرت، يصعب استعادتها.

ويكيكروك

  • npm (مدير حزم Node): npm هو المنصة الرائدة لمشاركة وإدارة حزم جافاسكريبت، مما يمكّن المطورين من تثبيت واستخدام مكتبات الشيفرة بسهولة في مشاريعهم.
  • WebSocket: WebSocket هو بروتوكول يحافظ على قناة مفتوحة بين متصفحك وخادم، مما يسمح بتبادل الرسائل في الوقت الحقيقي وباتجاهين.
  • رمز المصادقة: رمز المصادقة هو مفتاح رقمي يثبت هويتك للتطبيقات أو الخدمات، مما يسمح بالوصول الآمن دون إعادة إدخال كلمة المرور.
  • التمويه: التمويه هو ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعباً على البشر أو أدوات الأمان.
  • ربط الأجهزة: ربط الأجهزة هو ربط جهاز جديد بحساب أو نظام بشكل آمن، لضمان أن الأجهزة المصرح بها فقط تحصل على الوصول وأن الاتصال محمي.
npm Trojan WhatsApp cyber-espionage
SECPULSE SECPULSE
SOC Detection Lead
← Back to news