حصان طروادة في إضافات كروم: ضبط 108 إضافة تسرق بيانات غوغل وتلغرام

تخيّل أن تسجّل الدخول إلى متصفحك المفضل، واثقًا بالأدوات التي أضفتها لتسهيل حياتك، لتكتشف أنها تسرقك بصمت. هذا بالضبط ما حدث لما لا يقل عن 20,000 مستخدم من Google Chrome، بعدما كشف باحثون مخططًا ضخمًا شمل 108 إضافات متصفح صُممت لسرقة بيانات الاعتماد، واختطاف الجلسات، وحقن سكربتات وإعلانات غير مرغوب فيها - كل ذلك وهي تتنكر في هيئة أدوات وألعاب بريئة.

التهديد الخفي: إضافات كروم خبيثة على مرأى من الجميع

وفقًا لباحثي الأمن السيبراني في Socket، عملت الحملة الخبيثة تحت خمسة أسماء لناشرين - Yana Project وGameGen وSideGames وRodeo Games وInterAlt - وكان كلٌ منهم يدفع بمجموعة متنوعة من الإضافات ذات أغراض تبدو شرعية. تراوحت الميزات المُعلَن عنها بين عملاء تلغرام في الشريط الجانبي وألعاب سباق، إلى محسّنات YouTube/TikTok وأدوات ترجمة. لكن تحت السطح، كانت جميعها تمرّر البيانات المسروقة إلى البنية التحتية السرية نفسها.

والتفاصيل التقنية مُرعبة. أكثر من نصف الإضافات استهدفت حسابات غوغل، وجمعت هويات OAuth2 - عناوين البريد الإلكتروني، وصور الملفات الشخصية، ومعرّفات المستخدمين الفريدة. أخرى ثبّتت بابًا خلفيًا عامًا، يفتح عناوين URL يحددها المهاجم عند تشغيل المتصفح. وبعضها أزال ترويسات الأمان من مواقع شائعة، ما جعلها عرضة لحقن الإعلانات، وطبقات المقامرة، وJavaScript خبيث. والأكثر إثارة للقلق أن عدة إضافات كانت تسرّب جلسات Telegram Web كل 15 ثانية، ما قد يتيح للمهاجمين اختطاف محادثات خاصة شبه لحظيًا.

ولتفادي الشبهات، قلّدت هذه الإضافات أدوات وألعابًا شائعة. فإضافتا “Telegram Multi-account” و“Web Client for Telegram - Teleside” لم تكتفيا بسرقة رموز الجلسات، بل كانتا قادرتين على الكتابة فوق التخزين المحلي، وإجبار المستخدمين على تسجيل الدخول إلى حسابات يتحكم بها المهاجم. أما ألعاب مثل “Formula Rush Racing Game” فكانت تُطلق سرقة بيانات الاعتماد فور تسجيل الضحايا الدخول عبر غوغل. وكل حركة المرور كانت تُعاد توجيهها إلى خادم خلفي واحد، تم تحديده على أنه 144.126.135[.]238.

ورغم أن الحجم الكامل للأضرار لا يزال يتكشف، فقد أظهر تحليل الشيفرة تعليقات باللغة الروسية، ما يلمّح إلى أصول محتملة للمهاجمين. وقد أزالت غوغل منذ ذلك الحين الإضافات المخالفة، لكن سهولة تسللها إلى متجر Chrome تثير أسئلة مقلقة حول أمن الإضافات وعمليات المراجعة.

ما الذي ينبغي على المستخدمين فعله الآن

إذا كنت قد ثبّت أي إضافات كروم مشبوهة - خصوصًا تلك التي تقدم تكاملًا مع تلغرام، أو ألعاب متصفح، أو ميزات ترجمة - فاحذفها فورًا. سجّل الخروج من جميع جلسات الويب، ولا سيما على تلغرام، من جهازك المحمول، وفكّر في تغيير كلمة مرور حساب غوغل. تُعد هذه الحادثة تذكيرًا صارخًا بأن حتى متاجر المتصفحات “الرسمية” قد تؤوي تهديدات متقدمة.

ومع ازدياد قوة إضافات المتصفح يومًا بعد يوم، يجب على المستخدمين البقاء متيقظين. فالراحة التي توفرها تأتي مع مخاطرة - مخاطرة يتلهف مجرمو الإنترنت لاستغلالها. في الغرب الرقمي المتوحش، تُكتسب الثقة ولا تُفترض.

WIKICROOK

• Command: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
• OAuth2: OAuth2 طريقة آمنة تتيح للتطبيقات الوصول إلى حساباتك بإذنك، دون أن تكشف كلمة مرورك لتلك التطبيقات.
• Content Security Policy (CSP): سياسة أمن المحتوى (CSP) هي مجموعة من قواعد المواقع تتحكم في المحتوى الذي يمكن تحميله، ما يساعد على حظر السكربتات الخبيثة والعناصر غير المصرح بها.
• localStorage: localStorage ميزة في المتصفح لتخزين البيانات محليًا على الجهاز، ويمكن الوصول إليها بواسطة سكربتات من الموقع نفسه، وتستمر عبر الجلسات.
• DeclarativeNetRequest API: تتيح واجهة DeclarativeNetRequest API لإضافات كروم وضع قواعد لحظر طلبات الشبكة أو إعادة توجيهها أو تعديلها، بما يحسن الأمان والأداء.