پژوهشگران امنیت سایبری از شناسایی یک بسته مخرب در مخزن npm خبر دادهاند که در ظاهر یک API کاربردی برای واتساپ است، اما در عمل پیامها، مخاطبان و اطلاعات ورود کاربران را سرقت کرده و دسترسی دائمی مهاجمان به حساب واتساپ قربانی فراهم میکند.
به گزارش افتانا، پژوهشگران امنیت سایبری از شناسایی یک بسته مخرب جدید در مخزن npm خبر دادهاند که در ظاهر بهعنوان یک API کاملاً کاربردی برای واتساپ معرفی شده، اما در عمل قادر است تمام پیامها را شنود کند، فهرست مخاطبان را سرقت کند و حتی دستگاه مهاجم را به حساب واتساپ قربانی متصل کند. این بسته که «lotusbail» نام دارد، از زمان انتشار اولیه خود در ماه مه ۲۰۲۵ توسط کاربری با نام seiren_primrose بیش از ۵۶ هزار بار دانلود شده است. تنها در هفته گذشته ۷۱۱ دانلود برای آن ثبت شده و تا زمان انتشار این گزارش همچنان در دسترس کاربران npm قرار دارد.
به گفته تووال آدمونی، پژوهشگر شرکت Koi Security، این کتابخانه در پوشش یک ابزار سالم، اطلاعات حساس کاربران را به سرقت میبرد؛ از جمله اعتبارنامههای ورود به واتساپ، تمام پیامها، فهرست مخاطبان، فایلهای رسانهای و اسناد. این بدافزار همچنین یک درِ پشتی دائمی روی حساب واتساپ قربانی ایجاد میکند و تمام دادههای سرقتشده را پس از رمزگذاری به سرور مهاجم ارسال میکند. نکته نگرانکنندهتر این است که این بسته از کتابخانه معتبر @whiskeysockets/baileys الهام گرفته شده؛ کتابخانهای که بهطور گسترده برای تعامل با API وب واتساپ استفاده میشود. مهاجمان با ساخت یک لایه مخرب روی WebSocket، تمام پیامها و اطلاعات احراز هویت را از مسیر خود عبور میدهند و به این شکل به چتها و توکنهای ورود دسترسی پیدا میکنند.
این حمله فقط به سرقت داده ختم نمیشود. کتابخانه lotusbail دارای قابلیتی مخفی است که فرآیند اتصال دستگاه جدید به واتساپ را ربوده و با استفاده از یک کد جفتسازی ثابت، دستگاه مهاجم را همزمان به حساب قربانی لینک میکند. به بیان ساده، زمانی که توسعهدهنده از این کتابخانه برای اتصال به واتساپ استفاده میکند، بدون اطلاع او دستگاه مهاجم نیز به حساب واتساپش متصل میشود و دسترسی دائمی به مکالمات و مخاطبان پیدا میکند. حتی اگر این بسته بعداً از سیستم حذف شود، دسترسی مهاجم باقی میماند مگر اینکه قربانی بهصورت دستی از تنظیمات واتساپ دستگاههای متصل را بررسی و حذف کند. ایدان داردیکمن ازKoi Security ، توضیح داده است که این فعالیت مخرب بهمحض استفاده عادی از API آغاز میشود و نیازی به فراخوانی هیچ تابع خاصی ندارد. به محض احراز هویت و شروع ارسال یا دریافت پیام، شنود فعال میشود و فرآیند لینک شدن دستگاه مهاجم نیز همزمان انجام میگیرد.
این بسته همچنین به قابلیتهای ضد دیباگ مجهز است و در صورت شناسایی ابزارهای تحلیل، وارد یک حلقه بینهایت میشود تا اجرای برنامه را مختل کرده و بررسی کد را دشوار کند. به گفته Koi Security، این نمونه نشان میدهد که حملات زنجیره تأمین نهتنها متوقف نشدهاند، بلکه هوشمندتر هم شدهاند؛ زیرا کد در ظاهر سالم و کاربردی است، دانلود بالایی دارد و از فیلترهای رایج امنیتی عبور میکند، در حالی که رفتار مخرب آن در لایههای پنهان اجرا میشود.
همزمان با این افشاگری، شرکت ReversingLabs نیز از شناسایی ۱۴ بسته مخرب در NuGet خبر داده که خود را بهجای کتابخانههای مرتبط با ارزهای دیجیتال، از جمله Nethereum، جا زدهاند. هدف این بستهها یا انتقال داراییها به کیف پول مهاجمان در تراکنشهای بالای ۱۰۰ دلار بوده یا سرقت کلیدهای خصوصی و عبارتهای بازیابی کاربران.
این بستهها با نامهایی منتشر شدهاند که شباهت زیادی به ابزارهای معتبر دارند و توسط هشت حساب کاربری مختلف بارگذاری شدهاند. مهاجمان با افزایش مصنوعی تعداد دانلودها و انتشار نسخههای متعدد در بازه زمانی کوتاه، تلاش کردهاند حس اعتماد و فعالبودن پروژه را القا کنند. بررسیها نشان میدهد این کمپین دستکم از جولای ۲۰۲۵ فعال بوده است. در میان این بستهها، موردی با نام GoogleAds.API توجه ویژهای را جلب کرده که بهجای سرقت اطلاعات کیف پول، روی استخراج اطلاعات OAuth مربوط به Google Ads تمرکز دارد. این دادهها بسیار حساس هستند، زیرا در صورت افشا به مهاجمان اجازه میدهند بهطور کامل حساب تبلیغاتی قربانی را کنترل کنند، دادههای کمپینها را ببینند، تبلیغات جعلی ایجاد یا ویرایش کنند و حتی هزینههای نامحدودی را به حساب قربانی تحمیل کنند. این رویدادها بار دیگر نشان میدهد که اعتماد کورکورانه به نام بستهها، تعداد دانلود یا حتی عملکرد ظاهراً سالم کد، میتواند توسعهدهندگان و کاربران را در معرض خطرات جدی امنیتی قرار دهد.
