امتدادات كروم تتحول إلى برمجيات خبيثة بعد نقل الملكية: حقن أكواد وسرقة بيانات

GlassWorm يستغل رموز GitHub المسروقة لحقن برمجيات خبيثة في مستودعات بايثون
GlassWorm يستغل رموز GitHub المسروقة لحقن برمجيات خبيثة في مستودعات بايثون
شارك هذا الخبر

كشفت تقارير أمنية حديثة عن تحول امتدادين في متصفح Google Chrome إلى أدوات خبيثة بعد عملية نقل ملكية مثيرة للجدل، ما أتاح للمهاجمين إمكانية حقن أكواد ضارة وسرقة بيانات حساسة من المستخدمين. هذه الحوادث تسلط الضوء على مشكلة متنامية في سلسلة توريد الامتدادات، حيث يمكن لامتداد موثوق أن يتحول فجأة إلى أداة تجسس بمجرد انتقاله إلى مالك جديد.

تفاصيل الامتدادات المتضررة

الامتدادان المعنيان هما:

  • QuickLens – Search Screen with Google Lens (حوالي 7,000 مستخدم).
  • ShotBird – Scrolling Screenshots, Tweet Images & Editor (حوالي 800 مستخدم).

الأول لم يعد متاحاً على متجر كروم، بينما الثاني ما زال متوفراً حتى وقت كتابة التقرير. وقد أظهرت التحقيقات أن كلا الامتدادين احتفظا بوظائفهما الأصلية، لكنهما تلقيا تحديثات خبيثة بعد انتقال الملكية إلى مطورين جدد.

تقنيات الهجوم وآليات التنفيذ

أدخل التحديث الخبيث في QuickLens قدرات على إزالة رؤوس الحماية الأمنية مثل X-Frame-Options، ما سمح بحقن سكربتات ضارة وتجاوز سياسات الحماية (CSP). كما أضاف الامتداد آلية لاستقبال أوامر من خادم خارجي كل خمس دقائق، وتخزينها محلياً ثم تنفيذها عبر عنصر صورة مخفي بحجم 1×1 بكسل. هذه التقنية تجعل الكود الضار غير ظاهر في ملفات المصدر، بل يُحقن ويُنفذ أثناء التشغيل فقط.

أما ShotBird فقد استخدم أسلوباً مختلفاً، حيث يعرض إشعاراً مزيفاً لتحديث كروم، يقود المستخدم إلى صفحة خبيثة تطلب منه فتح نافذة الأوامر وتشغيل سكربت PowerShell، ما يؤدي إلى تنزيل ملف تنفيذي باسم “googleupdate.exe”. هذا الملف يلتقط بيانات حساسة مثل كلمات المرور، أرقام البطاقات، والرموز السرية، إضافة إلى تاريخ التصفح وكلمات المرور المخزنة في كروم.

سلسلة توريد الامتدادات: ثغرة أمنية خطيرة

يرى خبراء الأمن أن هذه الحوادث تمثل جوهر مشكلة سلسلة توريد الامتدادات، حيث يمكن لامتداد موثوق ومميز أن يتحول إلى أداة تجسس بمجرد انتقاله إلى مالك جديد. وقد حذرت Annex Security من أن هذه الثغرة تجعل المستخدمين عرضة لهجمات واسعة النطاق، خصوصاً في بيئات الشركات التي تعتمد على الامتدادات الإنتاجية بشكل يومي.

حملات مشابهة وتحذيرات متزايدة

لم تتوقف التهديدات عند QuickLens وShotBird، إذ رصد الباحثون امتدادات أخرى مثل lmToken Chromophore الذي ينتحل هوية تطبيق imToken لسرقة العبارات السرية الخاصة بالعملات الرقمية. كما تم اكتشاف امتدادات مثل OmniBar AI Chat and Search التي تغير إعدادات كروم وتعيد توجيه عمليات البحث إلى مواقع مشبوهة ضمن حملات تسويق خبيثة.

في المقابل، حذرت Microsoft Defender Security Research Team من امتدادات خبيثة مبنية على Chromium تتظاهر بأنها أدوات مساعدة بالذكاء الاصطناعي، لكنها في الواقع تجمع بيانات المحادثات مع نماذج اللغة الكبيرة وتاريخ التصفح، ما يزيد من خطورة هذه الامتدادات في بيئات العمل.

وسوم
محمد وهبى
محمد وهبى
المقالات: 967

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة