حذرت مصادر أمنية مطورة من حزمة برمجية خبيثة جديدة تنتشر عبر منصة npm، تدعى “lotusbail”، والتي نجحت في سرقة رسائل واتساب وبيانات حساسة أخرى من آلاف المطورين عالمياً.
تُظهر الحزمة نفسها كواجهة برمجة تطبيقات رسمية لواتساب ويب، بينما تقوم في الخفاء بتشغيل برمجيات خبيثة تستهدف سرقة المعلومات. وقد تم تنزيلها أكثر من 56,000 مرة.
حزمة npm الخبيثة “lotusbail” تهدد خصوصية المطورين
تنتحل “lotusbail” شخصية حزم موثوقة معروفة مثل “@whiskeysockets/baileys”، مما يجعلها تبدو آمنة للمطورين الذين يحتاجون إلى أدوات للتكامل مع واتساب. هذا التضليل سمح لها بالبقاء نشطة على npm لمدة ستة أشهر، دون أن يتم اكتشافها.
من جهة أخرى، فإن الخطر الأكبر يكمن في أن الحزمة تعمل بشكل فعال، حيث تقوم بوظائفها المعلنة في إرسال واستقبال رسائل واتساب، وهو ما يجعل المطورين يثقون بها دون أن يدركوا عملية السرقة التي تجري خلف الكواليس.
وقد تمكنت الحزمة من جمع مفاتيح جلسات واتساب، وجميع الرسائل السابقة والحالية، وقوائم جهات الاتصال الكاملة، والملفات الوسائط، بالإضافة إلى ترك باب خلفي دائم للحسابات المصابة.
آلية السرقة المعقدة
يستخدم البرنامج الخبيث نظام تشفير RSA مخصص لإخفاء البيانات المسروقة قبل إرسالها إلى خادم المهاجم. وهذا يعد مؤشراً خطيراً، نظراً لأن حزم واتساب الشرعية لا تحتاج إلى طبقات تشفير إضافية، فواتساب يوفر بالفعل تشفيراً شاملاً.
يتم إخفاء عنوان خادم استخلاص البيانات عبر أربع طبقات من الحماية: معالجة متغيرات يونيكود، وضغط LZString، وتشفير Base-91، وتشفير AES. هذا يجعل من الصعب للغاية تتبع مكان إرسال البيانات المسروقة.
إضافة إلى ذلك، يقوم البرنامج الخبيث بالاستيلاء على نظام الاقتران الخاص بالأجهزة في واتساب، مستخدماً رمز اقتران مشفر بـ AES. وهذا يعني أن المهاجم يمكنه ربط جهازه الخاص بحسابات الضحايا، مما يمنحه تحكماً كاملاً حتى بعد إزالة الحزمة الخبيثة.
ولتجنب الكشف، تتضمن الحزمة 27 فخ لا نهائي يتم تنشيطها عند وجود أدوات تصحيح الأخطاء، مما يصعّب عملية التحليل على الباحثين الأمنيين.