كشف باحثون في الأمن السيبراني عن امتدادين خبيثين على متصفح Google Chrome يحملان الاسم نفسه “Phantom Shuttle”، نُشرا من قبل مطور واحد، ويعملان كأدوات لاختبار سرعة الشبكة لكنهما في الواقع ينفذان عمليات اعتراض للبيانات وسرقة بيانات الاعتماد. الامتداد الأول نُشر عام 2017 ويضم نحو 2000 مستخدم، بينما الثاني ظهر في أبريل 2023 ويضم 180 مستخدماً. كلاهما متاح للتنزيل حتى الآن، ويباع للمستخدمين على أنه خدمة VPN شرعية باشتراكات تتراوح بين 1.40 و13.50 دولار.
آلية عمل الامتدادات وسرقة البيانات
بمجرد الاشتراك، يحصل المستخدم على وضع “VIP” الذي يفعّل تلقائياً وضع “smarty” للوكيل، حيث يتم توجيه حركة المرور من أكثر من 170 نطاقاً عالي القيمة عبر خوادم يسيطر عليها المهاجمون. تشمل هذه النطاقات منصات المطورين مثل GitHub وStack Overflow وDocker، وخدمات سحابية مثل AWS وAzure، وحلول مؤسسية مثل Cisco وIBM وVMware، إضافة إلى شبكات التواصل الاجتماعي ومواقع المحتوى الإباحي، التي يُعتقد أنها تُستخدم للابتزاز.
الامتدادات تُدخل تعديلات خبيثة على مكتبات JavaScript المدمجة (jquery-1.12.2.min.js وscripts.js)، وتحقن بيانات اعتماد ثابتة في كل طلب مصادقة HTTP عبر مستمع في واجهة chrome.webRequest.onAuthRequired، ما يمنح المهاجمين موقع “الرجل في الوسط” (MitM) لاعتراض البيانات وتعديلها.
قدرات التجسس والاستهداف المستمر
الامتدادات ترسل كل خمس دقائق عبر طلب HTTP GET بيانات المستخدمين، بما في ذلك البريد الإلكتروني وكلمة المرور بنص واضح، إلى خادم خارجي على نطاق phantomshuttle[.]space المستضاف على Alibaba Cloud. كما تحافظ على اتصال دوري كل 60 ثانية مع خادم التحكم والسيطرة (C2)، ما يتيح للمهاجمين مراقبة الجلسات بشكل مستمر. هذه الآلية تمكنهم من سرقة كلمات المرور، أرقام بطاقات الائتمان، ملفات تعريف الارتباط، بيانات النماذج، مفاتيح API، والرموز المميزة للوصول، وهو ما قد يؤدي إلى هجمات على سلاسل التوريد.
توصيات أمنية للمستخدمين والمؤسسات
الباحثون أشاروا إلى أن الامتدادات تعمل بشكل طبيعي لإيهام المستخدمين بأنها أدوات شرعية، حيث تعرض نتائج اختبارات سرعة الشبكة وتفاصيل الاتصال. لكن خلف هذه الواجهة، تُنفذ عمليات سرقة بيانات شاملة. يُنصح المستخدمون الذين قاموا بتثبيت هذه الامتدادات بإزالتها فوراً، بينما على فرق الأمن المؤسسي اعتماد سياسات صارمة مثل allowlisting للامتدادات، مراقبة الامتدادات التي تتضمن أنظمة دفع وامتيازات الوكيل، وتطبيق مراقبة الشبكة لرصد محاولات مصادقة مشبوهة.
