كشف باحثون في شركة Obsidian Security عن امتداد خبيث في متصفح Google Chrome يحمل اسم H-Chat Assistant (المعرف: dcbcnpnaccfjoikaofjgcipcfbmfkpmj)، ويضم أكثر من 10 آلاف مستخدم. الامتداد يستغل ثقة المستخدمين عبر طلب إدخال مفتاح OpenAI API للتفاعل مع روبوت الدردشة، لكنه في الخلفية يقوم بسرقة هذه المفاتيح وإرسالها إلى قناة على تطبيق Telegram يسيطر عليها المهاجمون.
التقديرات تشير إلى أن الامتداد سرّب ما لا يقل عن 459 مفتاح API فريد، ما يمنح المهاجمين وصولاً غير مصرح به إلى حسابات المستخدمين في OpenAI.
آلية الاستغلال
بمجرد تثبيت الامتداد، يُطلب من المستخدمين إدخال مفتاح API الخاص بهم. عملية التسريب تتم عند حذف محادثة أو تسجيل الخروج من التطبيق، حيث يتم إرسال البيانات مباشرة إلى الخوادم التي يتحكم بها المهاجمون. ورغم أن الامتداد يعمل كما هو معلن ويوفر وظائف الدردشة، إلا أن المفاتيح المسروقة تتيح للمهاجمين استخدام حسابات الضحايا بشكل كامل، بما في ذلك الوصول إلى المحادثات وتوليد المحتوى.
امتدادات أخرى مشبوهة
أوضحت Obsidian Security أنها اكتشفت عشرات الامتدادات الأخرى في كروم تقوم بإرسال المحادثات وبيانات المستخدمين إلى خوادم خارجية. العديد من هذه الامتدادات تنتحل هوية ChatGPT، ما يخلق شعوراً زائفاً بالثقة لدى المستخدمين الذين يعتقدون أن بياناتهم تُرسل مباشرة إلى OpenAI، بينما يتم في الواقع تحويلها إلى جهات مجهولة.
خطورة الظاهرة على المستخدمين والمطورين
هذه الحملة تكشف عن خطورة الاعتماد على امتدادات غير موثوقة، خاصة تلك التي تطلب بيانات حساسة مثل مفاتيح API. فالمهاجمون لا يكتفون بسرقة المفاتيح، بل قد يستخدمونها للوصول إلى بيئات التطوير أو استغلالها في عمليات أكبر. استمرار توفر هذه الامتدادات على متجر كروم الرسمي يزيد من حجم التهديد ويؤكد الحاجة إلى مراجعة صارمة للامتدادات المنشورة.
