واتساب تحت الحصار: حزمة NPM خبيثة تحول المطورين إلى جواسيس دون علمهم

العنوان الفرعي: حملة برمجيات خبيثة تتخفى في العلن، تسرق رسائل واتساب وبيانات الاعتماد من آلاف المطورين غير المشتبهين عبر مكتبة برمجية موثوقة.

بدأ الأمر كتنصيب npm روتيني - مطور متحمس لإضافة رسائل واتساب إلى تطبيقه، يختار حزمة شائعة وذات تقييم جيد. لكن خلف الواجهة المألوفة كان يختبئ مفترس رقمي متطور. لمدة ستة أشهر، تظاهرت “lotusbail” بأنها مكتبة واجهة برمجة تطبيقات واتساب ويب شرعية، وكانت بهدوء تسحب الرسائل وجهات الاتصال وأسرار المصادقة من أكثر من 56,000 مستخدم غير مدرك للخطر. في عالم هجمات سلسلة التوريد المظلم، لم تكن هذه مجرد حزمة مزيفة بسبب خطأ مطبعي أو اعتماد معطل. بل كان هذا استغلالاً للثقة، وقد تجاوز كل خطوط الدفاع.

حقائق سريعة

تم تحميل الحزمة الخبيثة “lotusbail” أكثر من 56,000 مرة خلال ستة أشهر.
تسرق بيانات اعتماد واتساب، الرسائل، جهات الاتصال، وملفات الوسائط عبر تقليد وظائف واجهة برمجة التطبيقات الشرعية.
تستخدم تقنيات تمويه متقدمة: خدع يونيكود، ضغط LZString، ترميز Base-91، وتشفير AES لإخفاء خادمها.
تستمر حتى بعد إلغاء التثبيت - يظل المهاجمون قادرين على الوصول حتى يقوم الضحايا بفصل الأجهزة يدوياً في واتساب.
تتفادى الاكتشاف عبر 27 فخاً لمكافحة التصحيح وروتينات تشفير مخصصة.

تشريح خداع مثالي

على عكس معظم الحزم الخبيثة التي تفضح نفسها بأخطاء مطبعية أو شيفرة معطوبة، قدمت “lotusbail” بالضبط ما توقعه المطورون: واجهة برمجة تطبيقات واتساب تعمل بكامل وظائفها. هذا التمويه التقني سمح لها بتجاوز مراجعات الشيفرة والاختبارات، لتتغلغل عميقاً في بيئات الإنتاج. اعتمد الهجوم على غلاف ذكي حول قناة اتصال واتساب، يلتقط كل رسالة، ورمز مصادقة، وجهة اتصال تمر عبر التطبيق.

لكن السرقة وحدها لم تكن كافية. لتجنب الاكتشاف، قامت البرمجية الخبيثة بتشفير جميع البيانات المسروقة باستخدام تطبيق RSA مخصص، وهي خطوة مشبوهة لأن واتساب يوفر بالفعل تشفيراً من طرف إلى طرف. زاد المهاجمون من تعقيد الخداع، مستخدمين تمويهاً عبر يونيكود، وضغط LZString، وترميز Base-91، وتشفير AES لإخفاء عنوان خادم القيادة والسيطرة الخاص بهم - دون كشفه أبداً بنص واضح.

الباب الخلفي الذي لا يرحل

الجانب الأكثر إثارة للرعب؟ حتى إذا تم إلغاء تثبيت المكتبة الخبيثة، يظل جهاز المهاجم مرتبطاً بحساب واتساب الخاص بالضحية. تم تحقيق ذلك من خلال رمز اقتران مشفر بـ AES ومضمن في الحزمة. بمجرد أن يصادق المطور تطبيقه، كان يصادق دون علمه أيضاً جهاز المهاجم، مانحاً المتسلل وصولاً كاملاً إلى جميع الرسائل وجهات الاتصال والوسائط - إلى الأبد، أو على الأقل حتى يقوم الضحية بإلغاء وصول الجهاز يدوياً.

تضمنت الحزمة حتى 27 فخاً من حلقات لا نهائية مصممة لتعطيل أدوات التصحيح وبيئات التحليل، مما يربك الباحثين الأمنيين والتحليل الآلي على حد سواء. أدوات التحليل الثابتة وأنظمة السمعة، التي غالباً ما تساوي بين الشعبية والأمان، أصبحت عديمة الفائدة. التخفي السلوكي والتعقيد التقني للبرمجية الخبيثة يمثلان تحذيراً قاتماً: تهديد سلسلة التوريد قد تطور.

تأملات: الثقة هي نقطة الضعف القصوى

قصة “lotusbail” هي جرس إنذار لكل منظومة البرمجيات. مع تعلم المهاجمين الاختباء في العلن - وتقديم شيفرة تعمل أثناء سرقة الأسرار - لم تعد التدابير الأمنية التقليدية كافية. يجب على المطورين والمؤسسات المطالبة بتحليل أعمق أثناء التشغيل، وفحص الشذوذات السلوكية، وإعادة التفكير في افتراض أن الشعبية تعني الأمان. في النهاية، أصبحت الثقة نفسها أخطر نقطة ضعف على الإطلاق.

ويكيكروك

هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم إلكتروني يستهدف مزودي البرمجيات أو الأجهزة الموثوقين، وينشر البرمجيات الخبيثة أو الثغرات إلى العديد من المؤسسات دفعة واحدة.
التمويه: التمويه هو ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعباً على البشر أو أدوات الأمان.
تشفير RSA: تشفير RSA هو طريقة أمان تستخدم أرقاماً كبيرة ومفتاحين للحفاظ على البيانات آمنة، مما يجعل الوصول غير المصرح به شبه مستحيل.
ويب سوكيت: ويب سوكيت هو بروتوكول يحافظ على قناة مفتوحة بين متصفحك وخادم، مما يسمح بتبادل الرسائل في الوقت الحقيقي وباتجاهين.
مضاد: "مضاد" يشير إلى الأساليب التي تستخدمها البرمجيات الخبيثة لتجنب الاكتشاف أو التحليل من قبل أدوات الأمان والباحثين، مما يجعل التهديدات أصعب في الدراسة أو الإيقاف.