كشف باحثون في الأمن السيبراني عن عملية برمجيات خبيثة متقدمة للغاية أصابت ملايين الحواسيب عبر امتدادات متصفحات مستضافة على متجري الإضافات الخاصين بمتصفحي Chrome وEdge. وفيما كانت هذه الإضافات تبدو في البداية كما لو أنها تطبيقات شرعية، فقد تم تحديثها العام الماضي لتتضمن كوداً خبيثاً.
حملات القرصنة الموجهة
يشير باحثون من شركة الأمن السيبراني Koi إلى أن مجموعة قرصنة مقرها الصين تُعرف باسم ShadyPanda تدير حالياً حملتين منفصلتين على الأقل من البرمجيات الخبيثة من خلال تضمين كود ضار داخل امتدادات المتصفحات.
تفاصيل الحملة الأولى
تشمل الحملة الأولى ما لا يقل عن خمس إضافات متصفح عملت بشكل طبيعي لمدة تقارب خمس سنوات قبل اختراقها، ومن أمثلتها Clean Master، أداة تنظيف الذاكرة المؤقتة التي يستخدمها أكثر من 200,000 مستخدم، والتي كانت تحمل سابقاً شارة تأكيد حتى من متجر إضافات Chrome قبل أن تزيلها جوجل نهائياً.
تفاصيل الحملة الثانية
أما الحملة الثانية فتضم خمس إضافات أخرى، من بينها WeTab، وهي أداة إدارة نوافذ المتصفح التي يستخدمها أكثر من ثلاثة ملايين مستخدم، وبشكل إجمالي، يستخدم أكثر من أربعة ملايين شخص حول العالم الإضافات في هذه المجموعة، وبشكل مقلق، ما تزال الإضافات المشمولة في المجموعة الثانية متاحة على متاجر إضافات المتصفحات حالياً.
تحليل الكود الخبيث
وبحسب الباحثين، أُدرج الكود الخبيث في هذه الإضافات خلال عام 2024، ما حولها فعلياً إلى برمجيات تجسس تجمع سراً بيانات تصفح المستخدمين، وكانت المعلومات المجمعة تُرسل مباشرة في الوقت الفعلي إلى خوادم خارجية تقع في الصين.
الآلية المستخدمة في الاختراق
وأوضح الباحثون أن الامتدادات المخترقة عملت مجتمعة كنظام لتنفيذ الكود عن بُعد، مما أتاح للمهاجمين تنزيل وتشغيل JavaScript داخل المتصفح تلقائياً ومن دون أي موافقة من المستخدم، ويقدّر الباحثون أن أكثر من 4.3 ملايين جهاز قد أصيب.
تاريخ المجموعة وتوسعها
وقعت أول هجمة موثّقة لـ ShadyPanda في عام 2023، رغم أن المجموعة يُعتقد أنها نشطة منذ عام 2018 على الأقل، وتمثلت أولى عملياتها الكبيرة في عمليات احتيال تابعة، حيث تضمّنت التطبيقات الخبيثة روابط تتبع تابعة داخل نقرات المستخدمين أثناء التسوق لجمع بيانات حول عادات الشراء لديهم.
استراتيجيات التهرب من الاكتشاف
وسّعت المجموعة نطاقها لاحقاً عبر دفع تحديثات خبيثة إلى إضافات متصفح موجودة مسبقاً، مما ساعدها على تجنب الاكتشاف، وبحسب الباحثين، تمكنت ShadyPanda من توزيع البرمجيات الخبيثة بسهولة نسبية لأن جوجل لا تولي نفس الاهتمام والتدقيقات الأمنية للتحديثات كما تفعل عند قبول الإضافات الجديدة، مما أتاح فرصة مميزة للمخترقين لتخطيط هجمات طويلة الأمد.