كشفت شركة Koi Security عن أول حالة موثقة لإضافة خبيثة في تطبيق Microsoft Outlook، حيث استغل مهاجم مجهول ثغرة في مشروع مهجور لتوزيع صفحة تسجيل دخول مزيفة وسرقة أكثر من 4000 بيانات اعتماد. الحملة أُطلق عليها اسم AgreeToSteal، نسبةً إلى الإضافة الأصلية “AgreeTo” التي كانت تُستخدم لدمج التقويمات ومشاركة المواعيد عبر البريد الإلكتروني، قبل أن يتوقف تحديثها منذ ديسمبر 2022.
آلية الاستغلال
اعتمد المهاجم على ثغرة في طريقة عمل إضافات أوفيس، حيث يشير ملف manifest إلى عنوان URL يتم جلب محتواه في الوقت الفعلي داخل Outlook. بعد أن تخلى المطور الأصلي عن النطاق المستضاف على Vercel، تمكن المهاجم من الاستيلاء عليه ونشر مجموعة تصيّد تعرض صفحة دخول مزيفة لمايكروسوفت. عند إدخال كلمات المرور، يتم إرسالها عبر Telegram Bot API قبل إعادة توجيه الضحية إلى صفحة تسجيل الدخول الحقيقية، مما يعزز خداع المستخدمين.
خطورة إضافات أوفيس
بحسب الباحثين، فإن إضافات أوفيس تختلف عن البرمجيات التقليدية لأنها لا تحتوي على حزمة ثابتة، بل تعتمد على محتوى ديناميكي يتم جلبه من الإنترنت. هذا يعني أن أي تغيير في النطاق أو المحتوى بعد الموافقة الأولية يمكن أن يحول الإضافة إلى أداة خبيثة دون أن يلاحظ المستخدم أو المنصة. الأخطر أن إضافة AgreeTo كانت تمتلك صلاحيات ReadWriteItem، ما يمنحها القدرة على قراءة وتعديل رسائل البريد الإلكتروني، وهو ما كان يمكن أن يُستغل لسرقة محتويات صناديق البريد بالكامل.
توصيات لتعزيز الأمان
أوصت Koi بعدة إجراءات لتقليل المخاطر:
- إعادة مراجعة الإضافات عند تغيّر محتوى النطاق المرتبط بها.
- التحقق من ملكية النطاق لضمان أنه ما زال تحت إدارة المطور الأصلي.
- وضع آلية لإزالة أو تمييز الإضافات غير المحدثة لفترات طويلة.
- عرض عدد مرات التثبيت لتقدير حجم التأثير المحتمل.
استجابة مايكروسوفت والمنصات الأخرى
حتى 12 فبراير 2026، تمت إزالة إضافة AgreeTo من متجر مايكروسوفت، مع نصيحة للمستخدمين بإلغاء تثبيتها فوراً وإعادة تعيين كلمات مرور حساباتهم. تجدر الإشارة إلى أن المشكلة ليست مقتصرة على متجر أوفيس، إذ أعلنت منصة Open VSX مؤخراً عن خطط لتطبيق فحوصات أمنية قبل نشر إضافات Visual Studio Code، فيما يقوم متجر VS Code بعمليات إعادة فحص دورية لجميع الحزم.
