حقائق سريعة

• تم اختراق أكثر من 4.3 مليون مستخدم لكروم وإيدج بهدوء عبر إضافات المتصفح منذ عام 2017.
• قاد الحملة مجموعة "ShadyPanda"، حيث سلّحت إضافات تبدو شرعية من خلال تحديثات خفية.
• مكّنت التحديثات الخبيثة من مراقبة كاملة وسرقة بيانات وحتى التحكم عن بعد في المتصفحات المصابة.
• بعض الإضافات المخترقة كانت قد حصلت سابقاً على شارات "مميزة" و"موثقة" من جوجل ومايكروسوفت.
• ترتبط بنية المهاجمين التحتية بخوادم في الصين، مما يثير مخاوف بشأن التجسس السيبراني العالمي.

الاستيلاء الصامت: درس في البرمجيات الخبيثة

تخيل نبتتك المنزلية الموثوقة، تقوم بعملية التمثيل الضوئي بهدوء في الزاوية، وفجأة تنبت أنياباً بين ليلة وضحاها. هذا ما حدث لملايين مستخدمي الويب الذين قاموا بتثبيت إضافات كروم وإيدج تبدو بريئة، لتتحول لاحقاً إلى أدوات مراقبة بعد سنوات من الخدمة السليمة. على مدى سبع سنوات، نظمت مجموعة ShadyPanda عملية واسعة استغلت الثقة التي يضعها المستخدمون في أسواق الإضافات الرسمية للمتصفحات.

تكمن براعة المخطط في الصبر. أمضت إضافات مثل "Clean Master" و"WeTab" سنوات وهي تتصرف بشكل جيد - وحصلت على تقييمات رائعة وحتى شارة "مميزة" المرغوبة من جوجل. في منتصف عام 2024، تلقت هذه الإضافات الرقمية تحديثات صامتة حولتها إلى برامج تجسس قوية. فجأة، بدأت تراقب كل موقع تتم زيارته، وتسحب سجلات التصفح المشفرة، وتجمع بصمات المتصفح الفريدة - وهي بيانات ثمينة للمعلنين أو المجرمين أو حتى الجهات الحكومية.

من الاحتيال بالعمولات إلى التجسس الكامل

تطورت خطة ShadyPanda على مراحل. في البداية، دفعت حملتهم المسماة "Wallpaper Hustle" العشرات من الإضافات البريئة التي كانت تضيف رموز عمولات بهدوء - لتقتطع أرباحاً من عمالقة التجارة الإلكترونية مثل أمازون وإيباي مع كل نقرة مستخدم. لكن عام 2024 شهد تصعيداً مخيفاً: اختطاف نتائج البحث، سرقة الكوكيز، وأخيراً تنفيذ التعليمات البرمجية عن بعد (RCE) - وهو ما يعادل رقمياً تسليم مفاتيح منزلك للقراصنة.

على سبيل المثال، أعادت إضافة "Infinity V+" توجيه جميع عمليات البحث عبر وسطاء مشبوهين، وسجلت كل ضغطة مفتاح (حتى قبل الضغط على زر الإدخال)، وجمعت الكوكيز لتتبع المستخدمين عبر الويب. لاحقاً، أصبحت الإضافات قادرة على تنزيل وتشغيل أي كود يريده المهاجمون، وكل ذلك دون إثارة إنذارات المتصفح.

أكبر غنيمة جاءت مع إضافة "WeTab" على إيدج، والتي حولت عادات التصفح في الوقت الحقيقي لثلاثة ملايين مستخدم إلى خوادم في الصين. هذا النوع من جمع البيانات الجماعي يذكر بحوادث سابقة مثل فضيحة "Great Suspender" عام 2020، لكن الحجم والتعقيد هنا غير مسبوقين.

نقاط العمى في الأسواق والبُعد العالمي

تسلط هذه الهجمات الضوء على ضعف صارخ في أسواق إضافات المتصفحات: بعد الموافقة الأولية على الإضافة، نادراً ما يتم تدقيق التحديثات. آليات التحديث التلقائي، المصممة للراحة، أصبحت السلاح السري لـ ShadyPanda. حتى شارات "موثقة" أو "مميزة" لم توفر أي حماية - فبمجرد الوثوق بها، تبقى موثوقة حتى فوات الأوان.

مع تتبع بنية المهاجمين التحتية إلى الصين، تكثر التساؤلات حول من سيستفيد من هذا الكنز من البيانات الشخصية. وبينما قد تشمل دوافع ShadyPanda الربح والتجسس، إلا أن الدرس الحقيقي أوسع: حراس الويب غافلون، والثقة يمكن اختطافها بين ليلة وضحاها.

ويكيكروك

• إضافة المتصفح: إضافة المتصفح هي ملحق صغير يعزز ميزات المتصفح، لكنه قد يُساء استخدامه من قبل القراصنة لسرقة البيانات أو التجسس على المستخدمين.
• تنفيذ التعليمات البرمجية عن بعد (RCE): تنفيذ التعليمات البرمجية عن بعد هو عندما يشغّل المهاجم كوده الخاص على نظام الضحية، وغالباً ما يؤدي ذلك إلى السيطرة الكاملة أو اختراق النظام.
• تهريب الكوكيز: تهريب الكوكيز هو سرقة ملفات تعريف الارتباط من المتصفح لانتحال شخصية المستخدمين أو تتبع أنشطتهم على الإنترنت، وغالباً ما يتم ذلك عبر استغلال ثغرات في المواقع أو المتصفحات.
• أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم تحكم (C2)، لتوجيهه للقيام بإجراءات محددة، أحياناً لأغراض خبيثة.
• إخفاء الكود: إخفاء الكود هو ممارسة تمويه الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها أمراً صعباً على البشر أو أدوات الأمان.