برمجيات التجسس تصيب 4 ملايين مستخدم بسبب إضافات متصفح مفخخة
كشف باحثون في الأمن السيبراني عن عملية برمجيات خبيثة متقدمة للغاية أصابت ملايين الحواسيب عبر امتدادات متصفحات مستضافة على متجري الإضافات الخاصين بمتصفحي Chrome وEdge. وفيما كانت هذه الإضافات تبدو في البداية كما لو أنها تطبيقات شرعية، فقد تم تحديثها العام الماضي لتتضمن كوداً خبيثاً.
يشير باحثون من شركة الأمن السيبراني Koi إلى أن مجموعة قرصنة مقرها الصين تُعرف باسم ShadyPanda تدير حالياً حملتين منفصلتين على الأقل من البرمجيات الخبيثة من خلال تضمين كود ضار داخل امتدادات المتصفحات.
تشمل الحملة الأولى ما لا يقل عن خمس إضافات متصفح عملت بشكل طبيعي لمدة تقارب خمس سنوات قبل اختراقها. ومن أمثلتها Clean Master، أداة تنظيف الذاكرة المؤقتة التي يستخدمها أكثر من 200,000 مستخدم، والتي كانت تحمل سابقاً شارة تميز وشارة تأكيد حتى من متجر إضافات Chrome قبل أن تزيلها جوجل نهائياً.
أما الحملة الثانية فتضم خمس إضافات أخرى، من بينها WeTab، وهي أداة إدارة نوافذ المتصفح التي يستخدمها أكثر من ثلاثة ملايين مستخدم. وبشكل إجمالي، يستخدم أكثر من أربعة ملايين شخص حول العالم الإضافات في هذه المجموعة. وبشكل مقلق، ما تزال الإضافات المشمولة في المجموعة الثانية متاحة على متاجر إضافات المتصفحات حالياً.
وبحسب الباحثين، أُدرجت الكود الخبيث في هذه الإضافات خلال عام 2024، ما حولها فعلياً إلى برمجيات تجسس تجمع سراً بيانات تصفح المستخدمين. وكانت المعلومات المجمعة تُرسل مباشرة في الوقت الفعلي إلى خوادم خارجية تقع في الصين.
وأوضح الباحثون أن الامتدادات المخترقة عملت مجتمعة كنظام لتنفيذ الكود عن بُعد، مما أتاح للمهاجمين تنزيل وتشغيل JavaScript داخل المتصفح تلقائياً ومن دون أي موافقة من المستخدم. ويقدّر الباحثون أن أكثر من 4.3 ملايين جهاز قد أصيب.
وقعت أول هجمة موثّقة لـ ShadyPanda في عام 2023، رغم أن المجموعة يُعتقد أنها نشطة منذ عام 2018 على الأقل. وتمثلت أولى عملياتها الكبيرة في عمليات احتيال تابعة، حيث تضمّنت التطبيقات الخبيثة روابط تتبع تابعة داخل نقرات المستخدمين أثناء التسوق لجمع بيانات حول عادات الشراء لديهم.
وسّعت المجموعة نطاقها لاحقاً عبر دفع تحديثات خبيثة إلى إضافات متصفح موجودة مسبقاً، مما ساعدها على تجنب الاكتشاف. وبحسب الباحثين، تمكنت ShadyPanda من توزيع البرمجيات الخبيثة بسهولة نسبية لأن جوجل لا تولي نفس الاهتمام والتدقيقات الأمنية للتحديثات كما تفعل عند قبول الإضافات الجديدة، مما أتاح فرصة مميزة للمخترقين لتخطيط هجمات طويلة الأمد.
