كشف باحثون في الأمن السيبراني عن إضافة خبيثة لمتصفح كروم تحمل اسم CL Suite by @CLMasters، وتدّعي أنها أداة لإدارة بيانات Meta Business Suite وFacebook Business Manager. الإضافة، التي ظهرت في متجر كروم في مارس 2025، لا يتجاوز عدد مستخدميها 33، لكنها قادرة على سرقة أكواد المصادقة الثنائية (2FA) وملفات CSV تحتوي على أسماء وأدوار المستخدمين، بالإضافة إلى بيانات التحليلات.
البيانات تُرسل إلى خادم خارجي على getauth[.]pro، مع خيار تمريرها إلى قناة تيليغرام يديرها المهاجم. ورغم أنها لا تسرق كلمات المرور مباشرة، إلا أن المهاجمين يمكنهم الحصول عليها من مصادر أخرى مثل سجلات أدوات سرقة المعلومات، ثم استخدام الأكواد المسروقة للوصول غير المصرح به إلى الحسابات.
حملة VK Styles واختراق نصف مليون حساب
في حملة أخرى، رصدت شركة Koi Security اختراقاً صامتاً لحوالي 500,000 حساب VKontakte عبر إضافات كروم مزيفة مثل VK Styles وVK Music. هذه الإضافات تقوم بتغيير إعدادات الحساب كل 30 يوماً، الاشتراك القسري في مجموعات المهاجم، والتحايل على رموز CSRF للحفاظ على السيطرة.
الكود الخبيث يُدار عبر مستودع GitHub باسم “-“، ويظهر أنه مشروع مُدار بعناية مع تحديثات متكررة بين يونيو 2025 ويناير 2026. الحملة أثرت بشكل رئيسي على المستخدمين الناطقين بالروسية، إضافة إلى مجتمعات في أوروبا الشرقية وآسيا الوسطى.
إضافات الذكاء الاصطناعي المزيفة AiFrame
تزامناً مع ذلك، تم اكتشاف حملة AiFrame التي تضم 32 إضافة كروم تُسوّق نفسها كمساعدات ذكاء اصطناعي للكتابة والترجمة والبريد الإلكتروني. هذه الإضافات، التي تجاوز عدد مستخدميها 260,000، تقوم بتمرير محتوى البريد الإلكتروني وبيانات التصفح إلى خوادم خارجية عبر واجهات مدمجة.
بعض الإضافات مثل ChatGPT Sidebar وGoogle Gemini تستهدف مباشرة محتوى Gmail، حيث تقرأ النصوص من DOM وتُرسلها إلى بنية تحتية خارجية، ما يخرج البيانات من نطاق حماية جوجل.
287 إضافة تسرّب سجل التصفح
أخيراً، كشف تقرير من Q Continuum عن مجموعة ضخمة تضم 287 إضافة كروم مثبتة لدى 37.4 مليون مستخدم، أي ما يعادل 1% من قاعدة مستخدمي كروم حول العالم. هذه الإضافات تجمع سجل التصفح وتبيعه لوسطاء بيانات مثل Similarweb وAlexa، ما يبرز خطورة الاعتماد على إضافات غير موثوقة.
الباحثون ينصحون المستخدمين باتباع نهج الحد الأدنى في تثبيت الإضافات، مراجعة الأذونات بشكل دوري، واستخدام ملفات تعريف منفصلة للمهام الحساسة، إضافة إلى تطبيق سياسات allowlisting في المؤسسات لمنع تثبيت إضافات غير معتمدة.
