في واحدة من أخطر حملات الاختراق الصامتة، كشف باحثون أمنيون عن شبكة منظمة استهدفت مستخدمي متصفح Google Chrome عبر 108 إضافات مزيفة. الحملة عملت بهدوء على أكثر من 20 ألف جهاز
في واحدة من أخطر حملات الاختراق الصامتة، كشف باحثون أمنيون عن شبكة منظمة استهدفت مستخدمي متصفح Google Chrome عبر 108 إضافات مزيفة. الحملة عملت بهدوء على أكثر من 20 ألف جهاز، باستخدام خمس هويات نشر وهمية وسيرفر تحكم مركزي واحد لتجميع البيانات وسحبها بشكل مستمر دون علم المستخدمين.
الإضافات كانت تبدو طبيعية جدًا، مثل أدوات ترجمة، إضافات لتحسين تجربة YouTube، ألعاب، أو أدوات مرتبطة بـ Telegram. هذا التنوع لم يكن عشوائيًا، بل هدفه الوصول لأكبر عدد ممكن من المستخدمين. خلف هذا الشكل البسيط، كانت الإضافات ترسل بيانات حساسة إلى نفس السيرفر، تشمل بيانات تسجيل الدخول وسجل التصفح ومعلومات الجلسات النشطة.
جزء أساسي من الهجوم اعتمد على استغلال تسجيل الدخول عبر جوجل. بعض الإضافات كانت تظل خاملة حتى يضغط المستخدم على زر “تسجيل الدخول باستخدام جوجل”، ثم تبدأ فورًا في التقاط البريد الإلكتروني، الاسم الكامل، صورة الحساب، ومعرف الحساب باستخدام OAuth2، بدون أي تنبيه أو إشعار ظاهر.
الهجوم على Telegram Web كان أكثر عدوانية. بعض الإضافات كانت تسحب رموز الجلسات كل 15 ثانية وترسلها للسيرفر، مع القدرة على استبدال جلسة المستخدم بالكامل بجلسة خاصة بالمهاجم. هذا يعني السيطرة الكاملة على الحساب دون الحاجة إلى كلمة مرور أو تحقق إضافي.
عدد من الإضافات احتوى أيضًا على باب خلفي دائم، يسمح بفتح مواقع بشكل إجباري عند تشغيل المتصفح. هذه الآلية كانت تُستخدم لحقن إعلانات، تشغيل محتوى غير مرغوب فيه، أو تنفيذ هجمات إضافية في الخلفية دون تدخل المستخدم.
الهجوم لم يتوقف عند ذلك، حيث قامت بعض الإضافات بإزالة طبقات الحماية من مواقع مثل YouTube وTikTok، ما سمح بحقن محتوى إعلاني أو تتبعي داخل الصفحات نفسها. في نفس الوقت، إضافات الترجمة كانت تعيد توجيه كل النصوص إلى سيرفرات المهاجم، ما يعني أن أي محتوى يتم إدخاله أو ترجمته يتم تسجيله بالكامل.
حتى الآن، الجهة المسؤولة غير معروفة بشكل رسمي، لكن تحليل الكود كشف عن تعليقات باللغة الروسية داخل بعض الإضافات، وهو ما يشير إلى احتمال وجود صلة، دون تأكيد قاطع. الإضافات تم نشرها تحت خمس هويات مزيفة: Yana Project وGameGen وSideGames وRodeo Games وInterAlt، ونجحت مجتمعة في الوصول إلى عشرات الآلاف من المستخدمين.
الخطر الحقيقي في هذه الحملة لا يتعلق فقط بسرقة بيانات، بل بالتحكم الكامل في الحسابات والجلسات، والقدرة على تنفيذ أوامر داخل المتصفح، ومراقبة كل نشاط المستخدم بشكل مستمر. النموذج المستخدم يعتمد على استغلال الثقة في إضافات تبدو عادية، ما يجعل اكتشاف الهجوم شبه مستحيل للمستخدم العادي.