إضافات خبيثة في كروم تتجسس على المستخدمين وتسرق كلمات المرور

كروم

كشفت تقارير تقنية حديثة عن تعرض عدد كبير من مستخدمي متمتصفح جوجل كروم لمخاطر أمنية خطيرة وغير مسبوقة، وذلك بعد اكتشاف وجود إضافات خبيثة منتشرة داخل المتجر الرسمي للمتصفح. 

وأكد باحثو الأمن السيبراني أن هذه البرمجيات الضارة تعمل بشكل خفي على التجسس وسرقة البيانات الشخصية للمستخدمين، مستغلة ثقتهم في المتجر الرسمي. 

وأوضح التقرير أن هذه الإضافات تتخفى تحت غطاء أدوات شرعية ومفيدة، مثل برامج قياس سرعة الإنترنت أو خدمات الـ VPN المجانية، مما يجعل الضحايا يثبتونها دون أدنى شك في نواياها الإجرامية. 

 كما أشارت المصادر إلى أن هذه الموجة من الهجمات تعد الأكثر تعقيداً في عام 2026، حيث تستهدف الوصول إلى أدق تفاصيل الحياة الرقمية للمستخدم. وأكدت شركة جوجل أنها بدأت حملة تطهير واسعة للمتجر، إلا أن الأمن الرقمي يظل مسؤولية مشتركة.

وأوضح الخبراء أن خطورة هذه الإضافات تكمن في قدرتها على البقاء لفترات طويلة دون اكتشافها، وأشار التقرير التقني إلى أن ملايين التحميلات تمت بالفعل لهذه الأدوات قبل صدور التحذيرات الرسمية، مما يضع كمية هائلة من البيانات الحساسة في قبضة القراصنة.

إضافات مزيفة بواجهة قانونية 

ووفقًا لما نشره موقع تيك رادار المتخصص في شؤون التكنولوجيا والأمن السيبراني، فإن بعض هذه الإضافات قدمت نفسها للمستخدمين على أنها أدوات إنتاجية لا غنى عنها. 

وأكد الموقع أن هذه البرمجيات كانت في الحقيقة واجهة لخدمة خبيثة تُعرف باسم فانتوم شاتل (Phantom Shuttle)، وهي برمجية متطورة سمحت لمشغليها بمراقبة حركة التصفح بالكامل. 

وأوضح المحللون أن هذه الخدمة مكنت المهاجمين من جمع بيانات تسجيل الدخول الحساسة، بما في ذلك الحسابات البنكية وحسابات البريد الإلكتروني، دون أن يلحظ المستخدم أي بطء أو خلل في أداء المتصفح. 

وأشار الخبراء إلى أن الخداع وصل لمرحلة تصميم واجهات احترافية تقلد العلامات التجارية الشهيرة، مما يمنحها صبغة "قانونية" زائفة. 

وأكدت التقارير أن مستخدمي جوجل كروم غالباً ما يثقون في التقييمات الوهمية التي يضعها المهاجمون لأنفسهم على المتجر.

وأوضح البيان التقني أن هذه الإضافات تطلب أذونات واسعة النطاق بمجرد التثبيت، مثل "قراءة وتغيير كافة بياناتك على المواقع التي تزورها"، وهو الإذن الذي يمنح القراصنة سيطرة مطلقة على ما يراه المستخدم وما يكتبه، مما يسهل عملية سرقة الهوية الرقمية بشكل كامل. 

 وأكد الباحثون في الأمن السيبراني أن حملة "فانتوم شاتل" استهدفت بشكل خاص الموظفين الذين يعملون عن بعد، حيث سعت للوصول إلى بيانات الشركات عبر متصفحاتهم الشخصية. 

وأوضح التقرير أن المهاجمين استخدموا تقنيات الهندسة الاجتماعية لإقناع المستخدمين بضرورة تحديث الإضافة لمنحها صلاحيات أكبر. 

وأشار المتابعون إلى أن هذه الواقعة تعيد فتح النقاش حول مدى أمان المتاجر الرسمية وقدرتها على فحص الأكواد البرمجية المعقدة التي تتغير ديناميكياً بعد التثبيت، مما يشكل تحدياً كبيراً لشركة جوجل في المستقبل.

كيف تتم عملية الاختراق وحقن الشيفرات الضارة داخل المواقع؟

وأوضح باحثو أمن المعلومات أن الآلية التي اتبعتها هذه الإضافات تعتمد على تحويل متصفح الضحية إلى خوادم وسيطة (Proxy Servers) بين المستخدم والمواقع التي يزورها. 

وأكدت التحليلات التقنية أن هذا الموقع الوسيط أتاح للمهاجمين اعتراض كافة البيانات المتبادلة أثناء التصفح، حتى لو كانت المواقع مؤمنة برمز القفل (HTTPS). 

وأشار الخبراء إلى أن الإضافة تقوم بحقن شيفرات ضارة (Malicious Scripts) داخل صفحات الويب بشكل لحظي، لتظهر للمستخدم حقول إدخال وهمية أو تطلب منه إعادة إدخال كلمة المرور لأسباب أمنية زائفة. 

 وأوضح التقرير أن هذه الشيفرات مصممة لالتقاط أسماء المستخدمين وكلمات المرور وملفات تعريف الارتباط (Cookies) بدقة متناهية. وأكد المختصون أن المهاجمين ركزوا على سرقة "ملفات الجلسة"، وهي الملفات التي تجعل المتصفح يتذكر دخولك للموقع دون طلب كلمة المرور في كل مرة. 

وأشار البيان إلى أن امتلاك القراصنة لهذه الملفات يعني قدرتهم على اختراق الحسابات وفتحها من أجهزتهم الخاصة وكأنهم هم المستخدم الأصلي، وهو ما يُعرف بهجوم "سرقة الجلسة" الذي يعد من أخطر أنواع الهجمات السيبرانية حالياً. 

 وأشار تقرير الأمن الرقمي لعام 2026 إلى أن هذه البرمجيات تستخدم تقنيات "التعتيم" لإخفاء نشاطها عن برامج مكافحة الفيروسات التقليدية. 

وأكد الخبراء أن الإضافة قد تظل خاملة لأسابيع بعد التثبيت لتجنب لفت الأنظار، ثم تبدأ نشاطها التجسسي تدريجياً. 

وأوضح المهندسون التقنيون أن حقن الأكواد يتم في أجزاء من الصفحة لا يراها المستخدم، مثل أكواد الإعلانات أو التحليلات، مما يجعل عملية الاكتشاف اليدوي شبه مستحيلة دون استخدام أدوات فحص برمجية متقدمة متخصصة في مراقبة إضافات المتصفح.

أكثر من 170 موقعًا تحت المراقبة وسرقة البيانات دون كلمات مرور

ولم يقتصر التجسس على مواقع محدودة أو مغمورة، بل أكدت التقارير أن المراقبة شملت أكثر من 170 موقعًا إلكترونيًا من المواقع الأكثر زيارة عالمياً. 

وأوضح الباحثون أن القائمة ضمت منصات تواصل اجتماعي شهيرة مثل "فيسبوك" و"إكس" و"لينكد إن"، بالإضافة إلى خدمات التخزين السحابي وأدوات العمل الرقمي التي يعتمد عليها ملايين المحترفين يومياً. 

وأشار التقرير إلى أن المهاجمين كانوا يهدفون إلى بناء قاعدة بيانات ضخمة للمستخدمين لبيعها في "الإنترنت المظلم" أو استخدامها في عمليات ابتزاز مالي مستقبلاً.

 وفي السياق نفسه، أكدت شركة سوكت (Socket) المتخصصة في أبحاث الأمن السيبراني أن البيانات المسروقة كانت تُرسل بشكل دوري ومنظم إلى خوادم تحكم وسيطرة يسيطر عليها المهاجمون.

وأوضحت الشركة أن المهاجمين تمكنوا في حالات كثيرة من دخول الحسابات دون كلمات مرور، وذلك عبر استغلال بيانات الجلسات النشطة التي تم جمعها. 

وأشار التقرير إلى أن هذا الأسلوب يجعل تفعيل "المصادقة الثنائية" (2FA) غير كافٍ في بعض الأحيان، لأن المهاجم يسرق "الجلسة" بعد أن يكون المستخدم قد أتم بالفعل عملية التحقق الثنائي. 

وأكد الخبراء أن خطورة هذا النوع من السرقة تكمن في أن المستخدم قد لا يكتشف الاختراق لعدة أشهر، لأن المهاجم لا يقوم بتغيير كلمة المرور، بل يكتفي بمراقبة الرسائل والملفات والصور الخاصة. 

وأوضح البيان التقني أن سرقة البيانات شملت أيضاً تفاصيل البطاقات الائتمانية المخزنة في المتصفح، مما أدى إلى خسائر مالية فادحة لبعض الضحايا. 

وأشار المحللون إلى أن 170 موقعاً هي مجرد البداية، حيث أن الشيفرة البرمجية قادرة على التوسع لتشمل أي موقع يقوم المستخدم بزيارته وإدخال بيانات حساسة فيه.

تجاوز أنظمة مراجعة جوجل وصعوبة اكتشاف الخطر البرمجي

وأشارت التقارير بمرارة إلى أن أخطر ما في هذه الإضافات هو أنها تؤدي وظائف حقيقية ومفيدة بالفعل للمستخدمين. وأكد المحللون أن الإضافة التي تقيس سرعة الإنترنت، على سبيل المثال، تقوم بذلك بكفاءة عالية، مما يبني ثقة زائفة لدى المستخدم ويجعله يستبعد فكرة أنها أداة تجسس. 

وأوضح الخبراء أن هذا السلوك "الهجين" يجعل اكتشاف النشاط الضار أمراً بالغ الصعوبة حتى بالنسبة للمستخدمين المحترفين أو مديري الأنظمة، حيث يتم دمج حركة بيانات التجسس مع حركة بيانات الوظيفة الأصلية للإضافة. 

وأكدت التحقيقات أن هذه الإضافات تمكنت بذكاء من تجاوز أنظمة المراجعة الآلية والبشرية داخل متجر جوجل كروم. 

وأوضح الخبراء أن بعض هذه الأدوات بدأت حياتها كإضافات "نظيفة" تماماً وحصلت على آلاف التقييمات الإيجابية، ثم تحولت لاحقاً إلى أدوات تجسس عبر تحديثات برمجية خفية يتم تحميلها من خوادم خارجية بعد تثبيت الإضافة. 

وأشار التقرير إلى أن هذا الأسلوب الملتوي يسمح للبرمجيات الضارة بالهروب من الفحص الأولي الذي تجريه جوجل عند رفع الإضافة للمرة الأولى على المتجر الرسمي. 

وأوضح موقع إنفوسيكيوريتي ماجازين أن حوادث الإضافات الخبيثة لم تعد استثناءً، بل أصبحت استراتيجية متبعة من قبل عصابات الجريمة الإلكترونية. وأكد الموقع أنه تم خلال الأشهر الماضية رصد عشرات الامتدادات التي جرى تعديلها عمدًا بعد وصولها لعدد ضخم من المستخدمين. 

وأشار التقرير إلى أن المهاجمين يشترون أحياناً إضافات قانونية من مطوريها الأصليين، ثم يقومون بحشوها بـ أكواد خبيثة وتوزيعها على المستخدمين الحاليين عبر نظام التحديث التلقائي، وهو ما يمثل طعنة في ظهر الثقة الرقمية.

رد شركة جوجل ونصائح ذهبية لحماية أمنك الرقمي

في المقابل، أوضحت شركة جوجل أنها تتبع سياسة صارمة تجاه هذه الانتهاكات وتعمل باستمرار على إزالة أي إضافات يثبت سلوكها الخبيث فور الإبلاغ عنها. 

وأكدت الشركة أنها تعمل على تطوير محرك فحص ذكاء اصطناعي جديد داخل متصفح كروم لرصد السلوكيات المشبوهة للإضافات في الوقت الفعلي. 

وأشار المتحدث باسم جوجل إلى أهمية مراجعة الأذونات التي تطلبها الإضافات قبل التثبيت، مشدداً على ضرورة الحذر من الأدوات التي تطلب صلاحيات واسعة للوصول إلى كافة بيانات المواقع دون سبب وظيفي واضح. 

 ولفت خبراء الأمن إلى أن الاعتماد على المتاجر الرسمية وحدها لم يعد ضمانة كافية للأمان المطلق. 

وأكدوا على ضرورة اتباع استراتيجية "الدفاع المتعدد الطبقات"، والتي تشمل تقليل عدد الإضافات المثبتة إلى الحد الأدنى الضروري فقط. 

وأوضح الخبراء أهمية استخدام برامج مكافحة فيروسات قوية تمتلك خاصية "حماية الويب"، وأشاروا إلى ضرورة تسجيل الخروج من الحسابات الهامة بشكل دوري لمسح ملفات الجلسة ومنع القراصنة من استغلالها في حال كانت هناك إضافة تتجسس على المتصفح بالفعل. 

 وختاماً، أكد التقرير التقني أن الوعي هو السلاح الأول في معركة الأمن السيبراني لعام 2026. 

وأوضح الخبراء أنه يجب على المستخدمين قراءة مراجعات المستخدمين الآخرين بعناية، والبحث عن اسم مطور الإضافة وتاريخه قبل وضع ثقتهم فيه. 

وأشار البيان الختامي إلى أن عالم الإنترنت يتطور بسرعة، ومع هذا التطور تزداد حيل القراصنة ذكاءً، مما يتطلب من كل فرد أن يكون "حارساً رقمياً" لنفسه، وألا يمنح مفاتيح حياته الخاصة لأي أداة برمجية مهما كانت المغريات الوظيفية التي تقدمها.