تحلیل تخصصی Vulnerbyte از یک حمله پیشرفته به زنجیره تأمین نرمافزار این بار WhatsApp API
کشف یک پکیج مخرب در مخزن npm با نام lotusbail نشان میدهد حملات Supply Chain در اکوسیستم متنباز نهتنها متوقف نشدهاند، بلکه به شکل نگرانکنندهای هوشمندتر و پنهانتر شدهاند.
این پکیج در ظاهر یک WhatsApp API کاملاً کاربردی است، اما در عمل، تمام پیامها، مخاطبین و توکنهای احراز هویت کاربر را سرقت کرده و دسترسی دائمی مهاجم به حساب واتساپ قربانی ایجاد میکند.
lotusbail؛ یک API کاربردی با هستهای کاملاً مخرب
پکیج lotusbail از می ۲۰۲۵ توسط کاربری با نام seiren_primrose در npm منتشر شده و تاکنون بیش از ۵۶٬۰۰۰ بار دانلود شده است؛ تنها در هفته گذشته ۷۱۱ دانلود ثبت شده و پکیج همچنان فعال است.
🔍 نکته خطرناک اینجاست که:
پکیج واقعاً کار میکند
عملکرد آن با WhatsApp Web API واقعی است
و دقیقاً همین موضوع باعث عبور آن از بررسیهای معمول شده است
قابلیتهای مخرب پنهانشده در lotusbail
طبق گزارش Koi Security، این کتابخانه:
🔓 توکنهای احراز هویت و Session Keyها را سرقت میکند
💬 تمام پیامها را رهگیری میکند
📇 لیست مخاطبین به همراه شماره تلفنها را استخراج میکند
📎 فایلها، تصاویر و اسناد را جمعآوری میکند
🔙 یک Backdoor دائمی ایجاد میکند
🔐 دادهها را رمزگذاری کرده و به سرور مهاجم ارسال میکند
تمام این عملیات در حالی انجام میشود که توسعهدهنده تصور میکند صرفاً در حال استفاده از یک API معمولی است.
سوءاستفاده هوشمندانه از Baileys
این پکیج از کتابخانه معتبر @whiskeysockets/baileys الهام گرفته شده؛ یک لایبرری TypeScript قانونی برای ارتباط با WhatsApp Web.
اما مهاجمان:
یک WebSocket Wrapper مخرب ایجاد کردهاند
تمام پیامها و دادههای احراز هویت را از این لایه عبور دادهاند
و در همان نقطه، دادهها را شنود و استخراج میکنند
📡 دادههای سرقتشده بهصورت رمزگذاریشده به URL تحت کنترل مهاجم ارسال میشوند.
خطرناکترین بخش: لینک دائمی دستگاه مهاجم
بدافزار تنها به سرقت داده بسنده نمیکند.
📌 lotusbail با استفاده از یک Pairing Code هاردکدشده:
فرآیند Device Linking واتساپ را میدزدد
دستگاه مهاجم را به حساب قربانی متصل میکند
به زبان ساده:
شما فکر میکنید اپلیکیشنتان را به واتساپ لینک کردهاید،
اما همزمان دستگاه مهاجم هم به اکانت شما لینک شده است.
⚠️ این دسترسی:
حتی پس از حذف پکیج
حتی پس از حذف اپلیکیشن
باقی میماند
مگر اینکه کاربر بهصورت دستی از تنظیمات واتساپ، دستگاه ناشناس را Unlink کند.
فعالسازی خودکار، بدون نیاز به فراخوانی خاص
طبق گفته Koi Security:
هیچ تابع مخفیای وجود ندارد
تنها با استفاده عادی از API
Backdoor فعال میشود
حتی قابلیت Pairing مخرب نیز دقیقاً در مرحله Authentication اجرا میشود.
تکنیکهای ضدتحلیل
lotusbail دارای Anti-Debugging است:
در صورت تشخیص ابزار دیباگ
وارد Loop بینهایت میشود
اجرای برنامه را قفل میکند
هدف:
افزایش هزینه و زمان تحلیل امنیتی.
تحلیل Vulnerbyte: چرا این حمله مهم است؟
این حمله چند حقیقت تلخ را روشن میکند:
🔹 «کد کار میکند» به معنی «کد امن است» نیست
🔹 Reputation و تعداد دانلود معیار امنیت نیست
🔹 Static Analysis بهتنهایی، شکست خورده است
این بدافزار دقیقاً در شکاف بین:
«این کتابخانه کار میکند»
و
«این کتابخانه فقط همین کار را میکند»
پنهان شده است.
حملات مشابه: NuGet و اکوسیستم رمزارز
همزمان، ReversingLabs از ۱۴ پکیج مخرب NuGet پرده برداشته که با جعل نام ابزارهای رمزارزی مانند Nethereum منتشر شدهاند.
📦 برخی اهداف:
سرقت Private Key و Seed Phrase
تغییر مسیر تراکنشها
سرقت OAuth Google Ads (در پکیج GoogleAds.API)
⚠️ سرقت OAuth Google Ads یعنی:
دسترسی کامل به حساب تبلیغاتی
امکان خرج نامحدود بودجه
جعل کمپینهای تبلیغاتی
جمعبندی Vulnerbyte
آنچه میبینیم:
Supply Chain Attack دیگر خام نیست
مهاجمان روی اعتماد توسعهدهنده سرمایهگذاری کردهاند
Open Source بدون Verification = ریسک پنهان
📌 امنیت زنجیره تأمین دیگر انتخاب نیست؛ الزام است.
توصیههای امنیتی Vulnerbyte
بررسی Publisher و Commit History
استفاده از SBOM و Dependency Verification
مانیتورینگ رفتار Runtime
Pin کردن Versionها
استفاده از ابزارهای Supply Chain Security
