کمیته رکن چهارم – یک بسته مخرب با نام lotusbail که بهظاهر برای توسعه API واتساپ طراحی شده، بهطور مخفیانه اقدام به جاسوسی از کاربران، سرقت پیامها و توکنهای احراز هویت کرده و دسترسی دائمی به حساب WhatsApp قربانی ایجاد میکند. این بسته از ماه مه ۲۰۲۵ در مخزن npm منتشر شده و تاکنون بیش از ۵۶ هزار بار دانلود شده است.
به گزارش کمیته رکن چهارم، پژوهشگران شرکت Koi Security اعلام کردند که بسته lotusbail با بهرهگیری از یک WebSocket wrapper، پیامها و اطلاعات حساس مانند کلیدهای نشست، تاریخچه چت، مخاطبان و فایلهای رسانهای را رهگیری کرده و آنها را به سرور مهاجم ارسال میکند. این اطلاعات پیش از رمزگذاری، منتقل شده و هیچ ردپایی روی سیستم قربانی باقی نمیگذارند.
ویژگی خطرناک دیگر این بسته، امکان اتصال مخفی دستگاه مهاجم به حساب واتساپ کاربر است. با استفاده از یک کد اتصال hardcoded، حتی پس از حذف کتابخانه، مهاجم همچنان به حساب قربانی متصل باقی میماند، مگر اینکه بهصورت دستی در تنظیمات WhatsApp حذف شود.
بدافزار همچنین با شناسایی ابزارهای تحلیل، وارد یک حلقه بینهایت شده و عملکرد خود را متوقف میکند. این ویژگی ضدتحلیل، شناسایی رفتار آن را برای تحلیلگران دشوار میسازد.
در کنار این تهدید، شرکت ReversingLabs نیز از شناسایی ۱۴ بسته مخرب در مخزن NuGet خبر داده است که با جعل نام کتابخانههای مشهور رمزارزی مانند Nethereum، کلیدهای خصوصی و اطلاعات کیفپول کاربران را سرقت میکنند. برخی از این بستهها حتی اطلاعات OAuth مربوط به Google Ads را نیز هدف قرار دادهاند.
این نمونهها نشان میدهد که حملات زنجیره تأمین در مخازن متنباز به سطحی از پیچیدگی رسیدهاند که تنها با تحلیل دقیق کد و افزایش آگاهی توسعهدهندگان میتوان با آن مقابله کرد.
