Netcrook Logo
👤 KERNELWATCHER
🗓️ 19 Jan 2026  

التخفي داخل المتصفح: أربعة أعوام من تجسس الإضافات في عهد GhostPoster

العنوان الفرعي: حملة برمجيات خبيثة سرّية اخترقت بصمت مئات الآلاف عبر إضافات المتصفح، كاشفةً عيوبًا عميقة في أمن الإضافات.

تخيّل أنك تثبّت حاجب إعلانات بسيطًا أو مترجمًا للغات - لتدعو دون أن تدري “شبحًا” رقميًا إلى متصفحك. لأكثر من أربع سنوات، ظلّت حملة البرمجية الخبيثة GhostPoster تطارد أشهر متصفحات العالم، متخفيةً على مرأى من الجميع داخل إضافات تبدو بريئة. ويكشف اكتشافها حقيقةً مقلقة: حتى أكثر متاجر المتصفحات موثوقية قد تؤوي تهديدات غير مرئية، وقد لا يزال الملايين عرضة للخطر.

الشبح في الآلة

تمثل حملة GhostPoster واحدة من أكثر الهجمات المعتمدة على المتصفح تطورًا التي كُشف عنها على الإطلاق. وقد عثر الباحثون على أثرها بعد ملاحظة سلوكيات غريبة مرتبطة بإضافات تبدو حميدة. وتكمن عبقرية البرمجية الخبيثة في كيفية تفاديها للكشف: فبدلًا من إخفاء الشيفرة على مرأى من الجميع، خبّأت حمولتها الخبيثة داخل البيانات الثنائية لملفات صور PNG - وتحديدًا الأيقونات التي تجعل الإضافات تبدو جديرة بالثقة. أما أدوات الأمن القياسية، المصممة لفحص الشيفرة لا الصور، فقد غضّت الطرف ببساطة.

وبمجرد تثبيتها، كانت الإضافة تبحث بهدوء داخل ملفات صورها عن علامة فريدة (“>>>>”)، ثم تفك ترميز كل ما يليها على أنه JavaScript قابل للتنفيذ. وبعد ذلك ينتظر هذا المُحمِّل المخفي - أحيانًا حتى خمسة أيام - قبل أن يقوم بأول خطوة، وهي حيلة متعمدة لتفادي عمليات الفحص السلوكي الآلية التي تراقب النشاط المشبوه الفوري.

وعندما يحين الوقت المناسب، يتواصل GhostPoster مع خوادم بعيدة لجلب وحدات شيفرة إضافية. كانت هذه الوحدات تزيل ترويسات أمان المتصفح، وتختطف نقرات الإحالة لتحقيق الربح، وتحقن إعلانات احتيالية، وتحل اختبارات CAPTCHA تلقائيًا، بل وتتجسس على عادات تصفح المستخدمين. كانت العملية منهجية ومتعددة المنصات: بدأت باستهداف Edge في عام 2020، ثم انتشرت إلى Firefox وChrome. أما الإضافة المصابة الأكثر شعبية، “Google Translate in Right Click”، فقد وصلت وحدها إلى أكثر من نصف مليون مستخدم على Chrome.

تهديد مستمر

لا تقل مرونة GhostPoster إثارة للقلق. فحتى بعد أن قامت Mozilla وMicrosoft بتنقية متاجرهما من الإضافات الخبيثة، ظل التهديد قائمًا. فالمستخدمون الذين ثبّتوا الإضافات يبقون مصابين ما لم يقوموا بإلغاء تثبيتها يدويًا - وهي ثغرة صارخة في سياسة أمن المتصفح. وبالنسبة للمؤسسات، يعني ذلك أن إضافة واحدة تم التغاضي عنها قد تقوّض حتى أشد بروتوكولات الأمن صرامة.

ويؤكد الباحثون الحاجة إلى تدقيقات صارمة للإضافات ومراقبة قائمة على السلوك. وكما يثبت GhostPoster، فإن الإجراءات التفاعلية لا تكفي عندما يمتلك المهاجمون أدوات شديدة التخفي، معيارية، ومستمرة. إنها جرس إنذار: فإضافات المتصفح، التي طالما اعتُبرت مجرد أدوات إنتاجية، أصبحت ساحة معركة رئيسية في حرب الثقة الرقمية.

الخلاصة

يكشف المسار الطويل غير المكتشف لـ GhostPoster الجانب المظلم من سهولة المتصفح. ومع تزايد تأثير إضافات المتصفح في تشكيل تجربتنا على الإنترنت، تزداد أخطارها الخفية تعقيدًا. وإلى أن تعتمد منظومات الإضافات دفاعات أكثر صرامة واستباقية، يجب على المستخدمين البقاء على يقظة - لأن الشبح في الآلة قد يكون حقيقيًا أكثر مما نتصور.

WIKICROOK

  • الإخفاء (Steganography): يُخفي الإخفاء رسائل أو شيفرة سرية داخل ملفات يومية، مثل الصور أو الصوت، ما يجعل المعلومات المخفية صعبة الاكتشاف.
  • الحمولة (Payload): الحمولة هي الجزء الضار من الهجوم السيبراني، مثل فيروس أو برنامج تجسس، يُسلَّم عبر رسائل بريد خبيثة أو ملفات عندما يتفاعل الضحية معها.
  • الأمر (Command): الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • سياسة أمن المحتوى (CSP): سياسة أمن المحتوى (CSP) هي مجموعة من قواعد الموقع التي تتحكم في المحتوى الذي يمكن تحميله، ما يساعد على حظر السكربتات الخبيثة والعناصر غير المصرح بها.
  • التمويه (Obfuscation): التمويه هو ممارسة إخفاء معالم الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمن.
GhostPoster browser security malware campaign
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news