هشدار پژوهشگران درباره بسته مخرب npm که حساب واتس‌اپ کاربران را هدف می‌گیرد

از /

شناسایی بسته مخرب در npm

پژوهشگران امنیت سایبری از کشف یک بسته مخرب در مخزن npm خبر داده‌اند که در ظاهر به‌عنوان یک API کاربردی برای واتس‌اپ معرفی شده، اما در عمل اطلاعات حساس کاربران را سرقت می‌کند. این بسته با نام «lotusbail» تاکنون بیش از ۵۶ هزار بار دانلود شده و همچنان در دسترس کاربران قرار دارد.

بسته مخرب در npm که مهاجمان را به واتس‌اپ می‌رساند
بسته مخرب در npm که مهاجمان را به واتس‌اپ می‌رساند

عملکرد مخرب بسته lotusbail

به گفته کارشناسان شرکت Koi Security، این کتابخانه در پوشش یک ابزار سالم، داده‌های حیاتی کاربران را به سرقت می‌برد؛ از جمله:

  • اعتبارنامه‌های ورود به واتس‌اپ
  • پیام‌ها و فهرست مخاطبان
  • فایل‌های رسانه‌ای و اسناد

این بدافزار علاوه بر شنود پیام‌ها، یک درِ پشتی دائمی روی حساب واتس‌اپ قربانی ایجاد می‌کند و داده‌های سرقت‌شده را پس از رمزگذاری به سرور مهاجم ارسال می‌کند. مهاجمان با سوءاستفاده از ساختار کتابخانه معتبر @whiskeysockets/baileys، لایه‌ای مخرب روی WebSocket ساخته‌اند که امکان دسترسی به چت‌ها و توکن‌های ورود را فراهم می‌کند.

اتصال مخفی دستگاه مهاجم به حساب واتس‌اپ

یکی از قابلیت‌های خطرناک این بسته، ربودن فرآیند اتصال دستگاه جدید به واتس‌اپ است. با استفاده از یک کد جفت‌سازی ثابت، دستگاه مهاجم هم‌زمان با حساب قربانی لینک می‌شود و حتی پس از حذف بسته از سیستم، دسترسی مهاجم باقی می‌ماند مگر اینکه قربانی به‌صورت دستی دستگاه‌های متصل را از تنظیمات واتس‌اپ حذف کند.

ویژگی‌های ضد دیباگ و پیچیدگی حمله

بسته lotusbail به قابلیت‌های ضد دیباگ مجهز است و در صورت شناسایی ابزارهای تحلیل، وارد حلقه بی‌نهایت می‌شود تا بررسی کد دشوار گردد. این موضوع نشان می‌دهد که حملات زنجیره تأمین نه‌تنها ادامه دارند، بلکه پیچیده‌تر و هوشمندتر نیز شده‌اند؛ زیرا کد در ظاهر سالم و کاربردی است و از فیلترهای امنیتی عبور می‌کند.

کشف بسته‌های مخرب در NuGet

هم‌زمان با این افشاگری، شرکت ReversingLabs نیز از شناسایی ۱۴ بسته مخرب در مخزن NuGet خبر داده است. این بسته‌ها خود را به‌جای کتابخانه‌های مرتبط با ارزهای دیجیتال معرفی کرده و هدفشان یا انتقال دارایی‌ها به کیف پول مهاجمان در تراکنش‌های بالای ۱۰۰ دلار بوده یا سرقت کلیدهای خصوصی و عبارت‌های بازیابی کاربران.

تهدیدات گسترده برای توسعه‌دهندگان و کاربران

بررسی‌ها نشان می‌دهد این کمپین از جولای ۲۰۲۵ فعال بوده و مهاجمان با انتشار نسخه‌های متعدد و افزایش مصنوعی تعداد دانلودها تلاش کرده‌اند اعتماد کاربران را جلب کنند. یکی از بسته‌ها با نام GoogleAds.API حتی به سرقت اطلاعات OAuth مربوط به Google Ads پرداخته و امکان کنترل کامل حساب تبلیغاتی قربانی را برای مهاجمان فراهم کرده است.

جمع‌بندی

این رویدادها بار دیگر ثابت می‌کند که اعتماد صرف به نام بسته‌ها، تعداد دانلود یا ظاهر سالم کد می‌تواند توسعه‌دهندگان و کاربران را در معرض خطرات جدی قرار دهد. کارشناسان امنیتی تأکید دارند که بررسی دقیق کدها و استفاده از منابع معتبر، تنها راه کاهش ریسک در برابر حملات زنجیره تأمین و بدافزارهای پنهان است.

مجله خبری هک و امنیت

گوگل دو آسیب‌پذیری روز صفر فعال اندروید را وصله کرد؛ هشدار در مورد بیش از ۱۰۰ حفره امنیتی دیگر

پسوردهای رایج جهانی، کاربران را با وجود هشدارهای امنیتی، همچنان در معرض تهدید جدی قرار می‌دهند

گزارش ENISA در سال ۲۰۲۵: موج جدید تهدیدات سایبری زیرساخت‌های حیاتی اروپا را هدف قرار داده است

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا