كشف باحثون في الأمن السيبراني عن شبكة من إضافات خبيثة لمتصفح Google Chrome، أبرزها إضافة Amazon Ads Blocker التي تدّعي حجب الإعلانات، لكنها في الواقع تقوم بحقن رمز تابع خاص بالمطورين (10xprofit-20) في جميع روابط منتجات أمازون، مع استبدال الرموز الأصلية الخاصة بصناع المحتوى.
التحقيق أظهر أن هذه الإضافة جزء من مجموعة تضم 29 إضافة تستهدف منصات مثل AliExpress، Best Buy، Shein، Shopify، Walmart، حيث يتم تعديل الروابط تلقائياً دون تدخل المستخدم، ما يؤدي إلى سرقة العمولات من المسوقين الأصليين.
سرقة بيانات المستخدمين ورموز ChatGPT
إلى جانب التلاعب بالروابط، رُصدت إضافات أخرى تقوم بجمع بيانات المنتجات وإرسالها إلى خوادم خارجية مثل app.10xprofit[.]io، كما تعرض مؤقتات مزيفة لخلق شعور زائف بالعجلة لدى المستخدمين.
الأخطر أن شبكة أخرى تضم 16 إضافة (15 على متجر كروم وواحدة على متجر إيدج) صُممت لاعتراض وسرقة رموز المصادقة الخاصة بـ ChatGPT عبر حقن سكربتات في موقع chatgpt[.]com، ما يمنح المهاجمين وصولاً كاملاً إلى محادثات المستخدمين وبياناتهم.
إضافات خبيثة أخرى تحت المراقبة
شركة Symantec التابعة لـ Broadcom رصدت أربع إضافات إضافية تجاوز عدد مستخدميها 100 ألف، منها:
- Good Tab التي تمنح صلاحيات كاملة للوحة النسخ إلى خادم خارجي.
- Children Protection التي تجمع الكوكيز وتحقن الإعلانات وتنفذ جافاسكربت عن بُعد.
- DPS Websafe التي تغيّر محرك البحث الافتراضي لالتقاط استعلامات المستخدم.
- Stock Informer التي تستغل ثغرة قديمة في إضافة ووردبريس لتنفيذ تعليمات برمجية خبيثة.
أداة Stanley وخطر الامتدادات كخدمة
التقرير أشار أيضاً إلى ظهور أداة Stanley التي تُباع في منتديات روسية مقابل 2000–6000 دولار، وتتيح إنشاء إضافات خبيثة قادرة على عرض صفحات تصيّد داخل إطار HTML مع إبقاء شريط العنوان سليماً، ما يخدع المستخدمين لإدخال بياناتهم الحساسة. رغم اختفاء الخدمة في يناير 2025 بعد الكشف عنها، إلا أن إمكانية عودتها تحت اسم جديد تبقى قائمة.
هذه التطورات تؤكد أن المتصفح أصبح نقطة النهاية الجديدة في بيئات العمل السحابية، وأن الإضافات الخبيثة باتت من أبرز نواقل الهجوم التي تستغل ثقة المستخدمين في العلامات التجارية الشهيرة مثل ChatGPT.
