اكتشف باحثون أمنيون أكثر من 300 إضافة خبيثة لمتصفح جوجل كروم تُعرّض المستخدمين للتتبع وسرقة بيانات الاعتماد واستخراج المعلومات الشخصية. بلغ مجموع تنزيلات هذه الإضافات أكثر من 37 مليون تنزيل، وتم اكتشافها عبر حملات متعددة منسقة، وفقاً لتقرير نشرته SecurityWeek يوم الجمعة.
تأتي هذه النتائج في ظل تصاعد الهجمات القائمة على المتصفحات والتي أصابت ملايين مستخدمي كروم في الأسابيع الأخيرة. تناولت شركة LayerX المختصة بأمن المتصفحات يوم الأربعاء حملة تُدعى “AiFrame” تضمنت 32 إضافة متنكرة في صورة مساعدات ذكاء اصطناعي تنتحل هوية أدوات مثل ChatGPT وClaude وGemini وGrok. وبشكل منفصل، كشفت شركة Koi Security عن شبكة من الإضافات تستهدف شبكة VKontakte الاجتماعية الروسية والتي أصابت حوالي 500,000 مستخدم.
أدوات ذكاء اصطناعي وهمية تخفي إمكانات خطيرة
تعمل حملة AiFrame، التي أثرت على أكثر من 260,000 مستخدم، من خلال إضافات تبدو وكأنها تقدم ميزات التلخيص المدعوم بالذكاء الاصطناعي، والمساعدة في الكتابة، والتكامل مع Gmail. لكن في الواقع، تقوم هذه الإضافات بتضمين واجهات يتم التحكم فيها عن بُعد من خلال خوادم داخل المتصفح بدلاً من تنفيذ الوظائف محلياً.
وكتبت الباحثة ناتالي زارغاروف من شركة LayerX: “بينما تبدو هذه الأدوات مشروعة ظاهرياً، إلا أنها تخفي بنية خطيرة: فبدلاً من تنفيذ الوظائف الأساسية محلياً، تقوم بتضمين واجهات يتم التحكم فيها عن بُعد من الخادم داخل أسطح تتحكم بها الإضافة وتعمل كوكلاء مميزين، مما يمنح البنية التحتية البعيدة إمكانية الوصول إلى قدرات المتصفح الحساسة”.
تعرض الإضافات إطارات iframe بملء الشاشة تشير إلى نطاق بعيد، مما يسمح للمشغلين بتغيير السلوك دون الحاجة لدفع تحديثات عبر متجر Chrome الإلكتروني. وعند التفعيل، يقوم الكود الخبيث باستخراج محتوى الصفحة بما في ذلك العناوين والنصوص والبيانات الوصفية، ثم يرسل هذه المعلومات إلى خوادم طرف ثالث. وتستهدف مجموعة فرعية من 15 إضافة تطبيق Gmail بشكل خاص، حيث تقرأ محتوى البريد الإلكتروني مباشرة من واجهة المتصفح.
اختراق حسابات مستخدمي فكونتاكتي
تُظهر حملة VK Styles، النشطة منذ يونيو 2025، كيف يمكن للمهاجمين تحويل أدوات التخصيص التي تبدو مشروعة إلى آليات للاستيلاء على الحسابات. تقوم الإضافات الخمس المرتبطة بالحملة تلقائيًا بإضافة الضحايا كمشتركين في مجموعات يسيطر عليها المهاجمون، وإعادة تعيين إعدادات الحسابات كل 30 يومًا للحفاظ على السيطرة، والتلاعب برموز الأمان لتجاوز وسائل الحماية.
تتبع باحثو Koi Security العملية ووصلوا إلى جهة تهديد واحدة تستخدم ملفًا شخصيًا على فكونتاكتي كبنية تحتية للقيادة والتحكم، حيث تخفي عناوين URL الخاصة بالحمولات الضارة داخل علامات البيانات الوصفية HTML.
مشهد التهديدات واسع الانتشار
تؤكد هذه الاكتشافات على نمط أوسع من إساءة استخدام إضافات المتصفح. أفاد موقع About Chromebooks أن جوجل قامت بإزالة أو تعطيل إضافات أثرت على أكثر من 8.8 مليون مستخدم لمتصفح Chrome في حملات برمجيات خبيثة منسقة بين أواخر عام 2024 وأوائل عام 2026.
أشارت شركة LayerX إلى أن المهاجمين استخدموا تقنية تسمى “رش الإضافات” (extension spraying)، حيث قاموا بنشر نفس الكود الخبيث تحت أسماء ومعرّفات مختلفة للتهرب من عمليات الإزالة. وقد تم عرض العديد من إضافات AiFrame كإضافات “مميزة” في متجر Chrome Web Store قبل إزالتها، مما منحها مصداقية.
المصدر: موقع perplexity
بين حصار الشاشات وخطر الفيروس.. من المسؤول عن اضطراب الجيل الحالي؟
سامسونج تطلق الإنتاج الضخم لذاكرة HBM4 لأول مرة عالمياً لدعم الذكاء الاصطناعي
الذكاء الاصطناعي يتفوق على البشر في فك شفرة آثار الديناصورات بعد عقود من الغموض
الصراخ شرطاً للتصفح.. أسلوب نفسي جديد للحد من إهدار الوقت على المنصات