تهديد خطير: نقل ملكية ملحقات كروم الضارة يتيح حقن الأكواد وسرقة البيانات على نطاق واسع
كشف تهديد أمني حرج ينبع من متجر كروم الإلكتروني، حيث تحولت ملحقان متصفح يبدوان شرعيين إلى ضارين بعد عملية نقل للملكية. تسلط هذه الحادثة الضوء على ثغرة خطيرة في سلسلة توريد نظام ملحقات المتصفحات، حيث يمكن تحويل البرمجيات الموثوقة إلى أسلحة بعد بيعها أو تسليمها إلى جهة خبيثة. كانت الملحقات، كويكلينز وشوت بيرد، مطورة أصلاً من قبل فرد مرتبط بالبريد الإلكتروني "akshayanuonline@gmail.com". بينما تمت إزالة كويكلينز من المتجر، بقي شوت بيرد متاحاً وقت التبليغ، مما يشكل خطراً مستمراً على المستخدمين الذين قاموا بتثبيته لوظيفته المعلن عنها في إنشاء مرئيات محترفة مع معالجة محلية.
اتبع مسار الاختراق نمطاً واضحاً. وفقاً لأبحاث من monxresearch-sec، تم نقل ملحق شوت بيرد، الذي حصل على علامة "مميز" من جوجل في يناير 2025، إلى مطور جديد الشهر الماضي. بالمثل، أوضح الباحث الأمني جون تاكنر من Annex Security أن كويكلينز عُرض للبيع في سوق ExtensionHub بعد يومين فقط من نشره الأولي في أكتوبر 2025 من قبل المطور الأصلي. بحلول الأول من فبراير 2026، أظهر إدراج الملحق في متجر كروم تغيير الملكية إلى بريد إلكتروني جديد. منحت عمليات النقل هذه المالكين الجدد الخبيثين القدرة على دفع تحديثات إلى قاعدة المستخدمين الحالية.
كان التحديث الضار الذي نُشر لكويكلينز في 17 فبراير 2026 خبيثاً بشكل خاص. حيث حافظ على الوظيفة الأصلية للملحق لتجنب إثارة شكوك المستخدم بينما زرع قدرات هجومية قوية. أدخل التحديث كوداً لإزالة رؤوس أمنية حاسمة من كل استجابة HTTP. يسمح هذا الإجراء للنصوص البرمجية الخبيثة المحقونة في صفحة الويب بإجراء طلاقات عابرة للنطاقات بشكل تعسفي، متجاوزة بشكل فعال حماية أمن الويب الأساسية. وهذا يخلق قناة مفتوحة على مصراعيها لمزيد من الاستغلال في أي موقع يزوره المستخدم.
تجاوزت القدرات التلاعب بالرؤوس الأمنية إلى تنفيذ روتين متطور لاستخراج البيانات وتنفيذ الأكواد عن بُعد. احتوى الملحق المخترق على كود لالتقاط بصمة بيئة المستخدم، وكشف بلده ومتصفحه ونظام تشغيله. وبشكل أكثر إثارة للقلق، تم تكوين الملحق للاتصال بخادم تحكم خارجي كل خمس دقائق. حيث كان يجلب حمولات جافا سكريبت ويخزنها في ذاكرة التخزين المؤقت للمتصفح لتنفيذها لاحقاً، مما يمنح المهاجمين سيطرة كاملة تقريباً على نشاط التصفح وبيانات المصادقة الحساسة.
يؤكد هذا الحادث على الحاجة الملحة لزيادة الشفافية والرقابة في سوق ملحقات المتصفحات. يجب على المنصات مثل متجر كروم الإلكتروني تعزيز آليات المراجعة والكشف عن عمليات نقل الملكية، وتنبيه المستخدمين عند تغيير ملكية الملحقات المثبتة لديهم. يجب على المستخدمين ممارسة الحذر الشديد، ومراجعة أذونات الملحقات بانتظام، وإزالة أي إضافات غير ضرورية أو مشبوهة. يبقى الثمن المحتمل للثقة العمياء في هذه الأدوات الصغيرة باهظاً في مشهد التهديدات المتطور باستمرار.
