برنامج خبيث جديد يستهدف واتساب يسرق الملفات وجهات الاتصال عبر مكتبة npm مزيفة

  • قامت حزمة npm خبيثة، متنكرة في هيئة مكتبة لتطبيق WhatsApp Web، بسرقة الرسائل والملفات وقوائم جهات الاتصال.
  • يربط البرنامج الخبيث جهاز المهاجم بحساب واتساب الخاص بالضحية ويحافظ على الوصول حتى بعد حذف الحزمة.
  • يؤثر هذا التهديد بشكل أساسي على المطورين الذين يستخدمون واجهات برمجة التطبيقات غير الرسمية، ولكنه يعرض المستخدمين النهائيين في أوروبا وإسبانيا للخطر أيضاً.
  • تُعد مراجعة الأجهزة المرتبطة، وتفعيل التحقق بخطوتين، وتجنب الأدوات غير الرسمية أمورًا أساسية لحماية حسابك.
Actualidad iPhone

11 دقيقة

برامج خبيثة على تطبيق واتساب تسرق الملفات وجهات الاتصال

ال أنا متشوق للاستفادة القصوى من تطبيق واتساب مع الميزات الإضافية. يستمر هذا الوضع في دفع العديد من المستخدمين والمطورين إلى تحميل الأدوات من مصادر غير رسمية. تكمن المشكلة في أن هذه المنطقة الرمادية من المكتبات غير الموثقة والتطبيقات المعدلة تسمح بتسلل تهديدات متطورة بشكل متزايد، قادرة على سرقة الرسائل وجهات الاتصال وحتى المستندات الشخصية دون إثارة الشكوك.

أحدث مثال على ذلك هو برامج ضارة على واتساب تتنكر في هيئة مكتبة شرعية في مستودع npm (مدير حزم Node). وقد تمكنت هذه الحزمة، تحت غطاء وظيفي كامل، من ربط أجهزة المهاجمين بحسابات WhatsApp الخاصة بأشخاص آخرين، ونسخ سجلات المحادثات بالكامل، واستخراج الملفات وبيانات الاعتماد، مما قد يؤثر على المستخدمين في إسبانيا وأوروبا وبقية أنحاء العالم.

حزمة واتساب ويب مزيفة تتسلل إلى npm

تم تحديد الحملة من قبل باحثين من كوي للأمن، الذي اكتشف حزمة منشورة على npm وعرضت على أنها واجهة برمجة تطبيقات أو مكتبة لأتمتة واتساب ويبتحت أسماء مثل «Iotusbail أو «lotusbail»تم إخفاء الكود على أنه نسخة معدلة من المشروع المعروف ويسكي سوكتس بايليز، ويستخدم على نطاق واسع من قبل المطورين لإنشاء روبوتات، وعمليات تكامل، وأدوات أتمتة باستخدام بروتوكول الويب الخاص بـ WhatsApp.

على الورق، بدت المكتبة شرعية: كان يسمح لك بالاتصال بـ WhatsApp Web وإرسال واستقبال الرسائل وتدير الجلسات بشكل مشابه للنسخة الأصلية. وقد دفع هذا المظهر الطبيعي آلاف المطورين إلى دمجها في مشاريعهم دون أن يدركوا أنها، في الخفاء، كانت تعترض جميع البيانات المارة عبر الاتصال.

بحسب تحليل شركة كوي سيكيوريتي، فإن الحزمة الخبيثة تم استخدام عميل WebSocket الشرعي تُستخدم هذه الطريقة للتواصل مع خوادم واتساب. كل رسالة أو ملف أو بيانات مصادقة تم تداولها عبر التطبيق، ثم مرت أولاً عبر حاوية البرامج الضارة، التي قامت بنسخها وإرسالها مشفرة إلى خادم يتحكم فيه المهاجمون.

إن هذا التهديد ليس حالة معزولة، بل هو جزء من تزايد الهجمات على سلسلة توريد البرمجياتحيث يتسلل مجرمو الإنترنت إلى المستودعات العامة من خلال استغلال الثقة التي تولدت عن المشاريع ذات التنزيلات الكثيرة والأسماء المشابهة لأسماء الأدوات الشائعة.

برامج خبيثة على واتساب ويب تسرق البيانات وجهات الاتصال

ما هي البيانات التي تسرقها البرامج الضارة على تطبيق واتساب؟

إن سلوك الحزمة الخبيثة مثير للقلق بشكل خاص بسبب حجم وحساسية المعلومات التي يتمكن من استخلاصها وإمكانية الاتجار ببياناتنا الخاصة.

  • قوائم الاتصال الكاملة مخزنة في حساب واتساب.
  • ملفات الوسائط المتعددة يتم مشاركة الصور ومقاطع الفيديو والملاحظات الصوتية في المحادثات.
  • المستندات المرسلة أو المستلمة من خلال التطبيق.
  • رموز المصادقة ومفاتيح الجلسة تُستخدم لبدء الاتصال والحفاظ عليه.
  • بيانات الاعتماد وتفاصيل تسجيل الدخول مرتبط بحساب واتساب ويب.

عملياً، هذا يعني أن المهاجمين يمكنهم محاكاة نشاط الضحية في الوقت الفعلي تقريبًا: قراءة المحادثات، وتنزيل الملفات، وتتبع اتصالات الأجهزة الجديدة، وحتى إعداد عمليات احتيال أخرى (مثل انتحال شخصيات جهات الاتصال في بيئات العمل أو الأسرة، وهو أمر حساس للغاية في أوروبا، حيث يتم استخدام واتساب على نطاق واسع في الشركات والإدارات).

ويشير الخبراء أيضاً إلى أن البرامج الضارة تتضمن آليات تشفير مخصصةتُستخدم تقنيات مثل RSA لإخفاء تسريب البيانات عن أدوات المراقبة التقليدية وحلول الأمان. إضافةً إلى ذلك، تُنشئ ميزات منع الحذف حلقات لا نهائية عند اكتشاف التحليلات المتقدمة، مما يزيد من تعقيد مهمة المحققين. تعرّف على المزيد حول آخر أخبار الأمن السيبراني يساعد ذلك على وضع هذه الأساليب في سياقها.

وهناك جانب رئيسي آخر وهو إصرارحتى لو قام المطور أو المستخدم بإزالة حزمة npm من المشروع أو النظام، فإن قد يظل حساب واتساب مخترقًاوالسبب هو أنه أثناء عملية المصادقة، تقوم المكتبة الخبيثة يقوم بربط جهاز يتحكم فيه المهاجم بصمت كما لو كان جهازًا تكميليًا صالحًا، كما تسمح به وظيفة تعدد الأجهزة في واتساب.

كيف يرتبط جهاز المهاجم بحسابك

يكمن الجانب الأكثر خطورة في الهجوم في كيفية استغلال الحزمة لوظائف واتساب ويب نفسها. فعندما يستخدم المطور المكتبة لربط تطبيقه بالخدمة، يقوم البرنامج الخبيث باختراق النظام. قم بإدخال حاوية WebSocket الخاصة بك الجهة التي تشرف على عملية التوفيق بين الشركاء.

في ذلك الوقت ، يلتقط الكود رمز المصادقة ومفاتيح الجلسة ورمز الاقتران. يتم إنشاء هذه المعلومات لتسجيل الدخول. باستخدام هذه المعلومات، ينتقل الباب الخلفي إلى ربط الجهاز تلقائيًا بجهاز يتحكم فيه المهاجمون إلى الحساب المستهدف، كما لو كان جهاز كمبيوتر أو جهاز لوحي أو متصفح إضافي مصرح به.

الأمر المقلق هو أن هذا لا تتطلب هذه العملية أي إجراء إضافي من المستخدم بغض النظر عن استخدام واجهة برمجة التطبيقات (API) التي تبدو شرعية، يبدو كل شيء يعمل بشكل طبيعي بالنسبة للمطور. مع ذلك، في الخفاء، يتمتع المهاجمون بوصول دائم يبقى حتى بعد حذف حزمة npm أو إلغاء تثبيت الأداة التي دمجتها.

مجرد مراجعة يدوية لقسم "الأجهزة المرتبطة" في تطبيق واتساب يُمكّنك هذا من اكتشاف هذه الصلاحيات المخفية وإلغائها. إلى حين فصل هذه الأجهزة المشبوهة، يحتفظ المهاجم برؤية كاملة للرسائل والبيانات المرتبطة بالحساب.

التأثير على المطورين والشركات والمستخدمين في أوروبا

على الرغم من أن التركيز الأولي للهجوم ينصب على مجتمع المطورين الذين يستخدمون npm، إلا أن المخاطر تنطوي على تأثير واضح على المستخدمين النهائيين والمنظماتتُستخدم العديد من المشاريع التي تدمج مكتبات مثل Baileys في بيئات الأعمال لإدارة خدمة العملاء، وأنظمة الإشعارات، أو الردود الآلية عبر WhatsApp.

إذا قام مطور برامج في إسبانيا أو أي دولة أخرى من دول الاتحاد الأوروبي، دون علمه، بتضمين نسخة معدلة خبيثة مثل Iotusbail أو lotusbail، لا يقتصر الأمر على تعريض حسابك للخطربل ويشمل ذلك بيانات العملاء أو المستخدمين الذين يتفاعلون مع هذا التكامل. في السياق الأوروبي، حيث يُطبق نظام حماية البيانات العامة (GDPR)، يمكن أن يؤدي هذا النوع من التسريب إلى انتهاكات خطيرة للخصوصية وفي حالة عدم إدارتها بشكل صحيح، ستُفرض عليها عقوبات.

علاوة على ذلك، فإن الاعتماد على تطبيق واتساب كقناة اتصال رسمية في الشركات الصغيرة والمتوسطة، والشركات المحلية، وحتى الإدارات العامة في إسبانيا يعني أن أي هجوم على هذه المنصة قد يكون له تأثير واسع النطاق.بدءًا من سرقة بيانات الاتصال بالعملاء وصولًا إلى سرقة المستندات المشتركة (الفواتير، عروض الأسعار، التقارير، إلخ)، فإن الضرر ليس فرديًا فحسب، بل يتعلق أيضًا بالأعمال التجارية.

يؤكد الباحثون أن الحزمة الخبيثة كانت متاحة على npm خلال خلال ستة أشهر تقريباً، تراكم أكثر من 56.000 عملية تنزيلهذا الرقم، على الرغم من أنه لا يشير إلى عدد الحسابات التي تم اختراقها في نهاية المطاف، يعطي فكرة عن مدى انتشار هذا النوع من الهجمات عندما يتسلل إلى بنية تحتية يستخدمها المطورون على نطاق واسع في جميع أنحاء العالم.

كيف تعرف ما إذا تم اختراق حسابك على واتساب؟

للكشف في الوقت المناسب عما إذا كان شخص ما قد نجح ربط جهاز غير مصرح به يُعدّ الوصول إلى حسابك على واتساب أمراً ضرورياً لحظر المستخدمين غير المصرح لهم. توفر الخدمة نفسها طريقة سهلة نسبياً للتحقق من ذلك، مع أن العديد من المستخدمين يتجاهلونها.

إلى تحقق من وجود متسللين يمكنك اتباع هذه الخطوات التي أوصى بها خبراء الأمن في حسابك:

  1. يفتح واتساب على هاتفك المحمول (أندرويد أو آيفون).
  2. الوصول إلى القائمة "إعدادات" أو انقر على أيقونة النقاط الثلاث في الزاوية العلوية.
  3. أدخل القسم "الأجهزة المرتبطة".
  4. تحقق من كل جهاز في القائمة واحداً تلو الآخر و تأكد من أنك تعرف جميع نقاط الوصول.
  5. إذا رأيت أي جهاز أو جلسة أو موقع يبدو غير مألوف، تسجيل الخروج على الفور.

بعد إجراء هذا الفحص، يُنصح بالمضي قدماً قليلاً: قم بتغيير كلمة مرور حسابك على جوجل أو أبل مرتبط بالهاتف المحمول، قم بتفعيل التحقق بخطوتين على WhatsApp وتحقق مما إذا كان هناك أي نشاط غير عادي على الخدمات الأخرى التي تستخدم فيها نفس الجهاز.

في حالة المطورين الذين قاموا بتثبيت أو استخدام مكتبات غير رسمية، يُنصح أيضًا مراجعة كود المشروعقم بإزالة التبعيات المشبوهة، وإذا لزم الأمر، أعد إنشاء مفاتيح API وبيانات الاعتماد المرتبطة بعمليات التكامل مع العملاء أو الموردين.

لماذا نستمر في الوقوع ضحية لبرامج واتساب الخبيثة؟

تسلط هذه الحملة الضوء على نمط يتكرر مراراً وتكراراً: جاذبية الميزات الإضافية والتخصيص إنها تفوق الحذر. يبحث العديد من المستخدمين عن إصدارات معدلة من واتساب، الروبوتات، أو الأتمتة، أو الأدوات الخاصة التي تعد بـ "الذهاب خطوة أبعد" من التطبيق الأصلي، دون إيلاء الكثير من الاهتمام لأصل البرنامج.

في هذه الحالة تحديدًا، لا يستغل البرنامج الخبيث ثغرة تقنية في واتساب بشكل مباشر، بل يستغل... نقاط الضعف البشرية والإجرائيةإن الاعتماد على مكتبة تطبيقات خارجية لمجرد أنها تبدو مفيدة ولديها عدد كبير من التنزيلات خطأ. وينطبق الأمر نفسه على التطبيقات التي يتم تنزيلها من خارج متجر جوجل بلاي، أو متجر آب ستور، أو مواقع المطورين الرسمية.

يدرك المهاجمون هذه الحقيقة ويصممون حملاتهم بحيث الأدوات الخبيثة تعمل بكامل طاقتهابمعنى آخر، إنهم يفعلون ما يعدون به (السماح بالبرامج الآلية، وأتمتة الرسائل، وتخصيص التجربة...)، لكنهم يضيفون طبقة خفية من التعليمات البرمجية التي تسرق البيانات بصمت. وبالتالي، لا يوجد لدى المستخدم سبب واضح لعدم الثقة.لأن الأداة "تعمل".

يكتسب هذا النهج أهمية خاصة في أوروبا وإسبانيا، حيث يحظى تطبيق واتساب بشعبية واسعة بين جميع الفئات العمرية. ويعود ذلك إلى الجمع بين الاستخدام المكثف والثقة في المنصة، و ثقافة مراجعة فنية ضئيلة تُعد أدوات الطرف الثالث بيئة مثالية لتكاثر هذا النوع من التهديدات.

أفضل الممارسات لمنع البرامج الضارة من سرقة ملفاتك وجهات اتصالك

لا يتطلب تقليل المخاطر أن تكون خبيرًا في الأمن السيبراني، ولكنه يتطلب تبني سلسلة من الإجراءات عادات أساسية وثابتةفي ضوء ما حدث مع هذه الحزمة الخبيثة في npm، يوصي متخصصو الأمن بأخذ العديد من الإرشادات في الاعتبار.

  • قم بتثبيت التطبيقات فقط من المتاجر الرسمية.بالنسبة للأجهزة المحمولة، استخدم متجر جوجل بلاي أو متجر التطبيقات أو مصادر أخرى موثوقة؛ أما بالنسبة لأدوات المطورين، فقم بتنزيلها من المستودعات الرسمية للمشروع واطلع على وثائقها.
  • احذر من الميزات "الإضافية" أو غير الرسميةغالباً ما تكون الوعود بالتخصيصات المتطرفة، أو الأتمتة العدوانية للغاية، أو الوصول غير المسبوق إلى وظائف واتساب الداخلية بمثابة بوابة للبرامج الضارة.
  • حافظ على تحديث نظامك وتطبيقاتكيجب تحديث كل من نظام تشغيل الهاتف المحمول وتطبيق واتساب والتطبيقات الأخرى لتقليل الثغرات الأمنية المعروفة.
  • قم بتشغيل التحقق بخطوتين على تطبيق واتساب والحسابات المرتبطة به (جوجل، أبل، البريد الإلكتروني) لتعقيد الوصول غير المصرح به حتى في حالة تسريب كلمات المرور أو الرموز المميزة.
  • قم بإجراء نسخ احتياطية مشفرة من بين المحادثات والملفات الأكثر حساسية، يتم تخزينها على خدمات موثوقة، بحيث لا يؤدي احتمال الإصابة إلى فقدان المعلومات بالكامل.
  • استشر مصادر موثوقة قبل التثبيت أداة جديدة: مراجعة الآراء والتقارير الأمنية، وفي حالة أوروبا، التوصيات الصادرة عن المنظمات والوكالات المتخصصة في الأمن السيبراني.

بالنسبة للمطورين، تتوسع القائمة مع ازدياد الحاجة إلى راجع التبعيات، وتجنب الحزم من مؤلفين غير معروفين.قم بمراجعة تغييرات الأسماء المشبوهة وراقب سلوك وقت التشغيل للمكتبات التي تتعامل مع البيانات الحساسة أو بيانات اعتماد المستخدم.

ما الذي حدث بخصوص هذا؟ برامج خبيثة تستهدف تطبيق واتساب، تقوم بسرقة الملفات وجهات الاتصال وبيانات الاعتماد. يُظهر هذا مدى سهولة تسريب كميات هائلة من المعلومات الشخصية والمهنية بمجرد تنزيل برنامج بسيط. فقد كان برنامج npm يبدو بريئًا كافيًا لربط أجهزة المهاجمين، ومراقبة المحادثات، واستخراج البيانات باستمرار، مما يُعرّض المستخدمين والشركات في إسبانيا وبقية أوروبا للخطر. في ظلّ بيئة رقمية مكشوفة بشكل متزايد، أصبح الجمع بين الحذر والتحديثات المستمرة والمراجعة الدورية للأجهزة المرتبطة بالحساب أفضل وسيلة للحفاظ على الخصوصية على واتساب.

المادة ذات الصلة:
من السهل سرقة حساب WhatsApp

قد تهمك:
كيفية الحصول على رقمين واتس اب على الايفون
تابعونا على أخبار جوجل