اختراق صامت لـ 4.3 مليون مستخدم.. كيف تحمي مؤسستك من إضافات المتصفح المتحولة؟

كشف تحليل أمني متعمق في ديسمبر 2025 عن واحدة من أكثر الحملات الإلكترونية تعقيداً وطولاً، حيث نجحت مجموعة تهديدات تُدعى “شادي باندا” في اختراق سلسلة توريد إضافات المتصفحات الشهيرة، محوّلةً أدوات مساعدة موثوقة إلى برامج تجسس خبيثة عبر تحديثات صامتة، مما يعيد تعريف معايير أمن المتصفحات على مستوى المؤسسات والأفراد.

الخدعة الطويلة: سبع سنوات لبناء الثقة قبل الضربة القاضية

اعتمدت استراتيجية “شادي باندا” على الصبر والتدرج، حيث قامت المجموعة بنشر أو شراء إضافات متصفح حميدة، وتركتها تعمل لسنوات لجذب الثقة وتجميع قاعدة مستخدمين ضخمة وصلت إلى حوالي 4.3 مليون عملية تثبيت. بلغت ذروة الخدعة عندما حصلت بعض هذه الإضافات على شارات “موثوق” و”مميز” في متاجر كروم وإدج الرسمية، مما عزز ثقة المستخدمين بشكل أكبر. ومع اعتماد المتصفحات على التحديثات التلقائية في الخلفية، تمكن المهاجمون من تحويل هذه الإضافات فجأة إلى برامج ضارة في منتصف 2024 دون أن يلاحظ المستخدمون أي تغيير ظاهري.

القدرات التخريبية: من أداة مساعدة إلى إطار تجسس كامل

عند التنشيط، تحولت الإضافات المخترقة إلى إطار عمل متكامل لتنفيذ الأوامر عن بُعد داخل بيئة المتصفح نفسه. امتلكت القدرة على تنزيل وتشغيل أكواد جافا سكريبت عشوائية مع صلاحيات كاملة للوصول إلى بيانات المتصفح ووظائفه. تضمنت قدراتها التجسسية مراقبة كل عنوان URL وضغطة على لوحة المفاتيح، وحقن نصوص برمجية خبيثة في صفحات الويب، وسرقة بيانات التصفح والمعلومات الاعتمانية. لكن الأخطر كان سرقة ملفات تعريف الارتباط للجلسات ورمز المصادقة، مما سمح للمهاجمين بانتحال هوية حسابات كاملة في خدمات سحابية مثل مايكروسوفت 365 وجوجل وورك سبيس.

الفجوة الأمنية: عندما يتجاوز المتسللون أقوى حواجز الحماية

كشفت الحملة عن ثغرة جوهرية في الأنظمة الدفاعية التقليدية، حيث تمكنت الإضافات الخبيثة من تجاوز حتى أدوات المصادقة متعددة العوامل (MFA). السبب كان بسيطاً وخطيراً في الوقت نفسه: بما أن جلسة المتصفح كانت مصادقاً عليها مسبقاً، فإن الإضافة الضارة استقلت على هذه الجلسة الشرعية دون الحاجة لاختراق كلمة المرور أو عوامل المصادقة الإضافية. هذا يعني أن ملايين رموز الجلسات المسروقة كان يمكن أن تؤدي إلى وصول غير مصرح به إلى البريد الإلكتروني المؤسسي والملفات ورسائل الدردشة وغيرها، كل ذلك دون أن تطلق أنظمة الإنذار التقليدية أي تحذير.

خارطة طريق للوقاية: أربع خطوات استباقية لحماية المؤسسات

1. فرض قوائم السماح الصارمة: يجب البدء بإجراء تدقيق شامل لجميع الإضافات المثبتة على متصفحات المؤسسة، وإزالة أي إضافة غير ضرورية أو غير مفحوصة. يتطلب الأمر استخدام أدوات إدارة متصفحات المؤسسات لتنفيذ قوائم سماح تتيح فقط للإضافات المعتمدة أن تُثبت، مع ضرورة تقديم مبررات عمل واضحة لأي إضافة تطلب صلاحيات واسعة.

2. معاملة الإضافات كتطبيقات خارجية: يجب أن تتعامل فرق الأمن مع صلاحيات الإضافات بنفس جدية تطبيقات الطرف الثالث المتصلة بحسابات السحابة. يتضمن ذلك إنشاء سجل مركزي للإضافات المعتمدة وربطها بأنظمة إدارة الهوية والوصول، ومراقبة أنماط تسجيل الدخول غير الطبيعية التي قد تشير إلى سرقة الجلسات.

3. المراجعة الدورية للصلاحيات والتحديثات: يجب أن تصبح مراجعة الإضافات جزءاً دورياً من البرنامج الأمني للمؤسسة، مع التركيز على تتبع أي تغييرات في ملكية الإضافة أو مطورها، ومراقبة طلبات الصلاحيات الجديدة أو الموسعة التي قد تشير إلى تحول الإضافة إلى برنامج ضار.

4. نظام مراقبة مستمر للسلوك المشبوه: نظراً لطبيعة التحديثات الصامتة، يجب تطوير آليات تقنية لمراقبة نشاط الإضافات، مثل تحليل اتصالات الشبكة غير المعتادة أو التغيرات المفاجئة في ملفات الإضافة. يجب أيضاً توعية المستخدمين للإبلاغ عن أي تغيير مفاجئ في سلوك الإضافات المثبتة منذ فترة طويلة.