تم اختراق 16 ملحقًا لمتصفح Chrome، مما يعرض أكثر من 600000 مستخدم لسرقة البيانات

29 ديسمبر 2025رافي لاكشمانانحماية نقطة النهاية / أمان المتصفح

استهدفت حملة هجوم جديدة ملحقات متصفح Chrome المعروفة، مما أدى إلى اختراق ما لا يقل عن 16 ملحقًا وتعريض أكثر من 600000 مستخدم لكشف البيانات وسرقة بيانات الاعتماد.

استهدف الهجوم ناشري ملحقات المتصفح على سوق Chrome الإلكتروني عبر حملة تصيد احتيالي واستخدم أذونات الوصول الخاصة بهم لإدراج تعليمات برمجية ضارة في ملحقات شرعية لسرقة ملفات تعريف الارتباط ورموز وصول المستخدم.

وكانت أول شركة معروفة بأنها تعرضت للاختراق هي شركة الأمن السيبراني Cyberhaven.

في 27 ديسمبر، سايبرهافن تم الكشف عنها أن جهة تهديد قامت باختراق امتداد المتصفح الخاص بها وحقن تعليمات برمجية ضارة للتواصل مع خادم قيادة وتحكم خارجي (C&C) موجود على المجال cyberhavenext[.]pro، وتنزيل ملفات تكوين إضافية، وتصفية بيانات المستخدم.

يقول أور إشيد، الرئيس التنفيذي لشركة “إن ملحقات المتصفح هي نقطة الضعف في أمان الويب”. أمان LayerX، والتي تتخصص في أمان امتدادات المتصفح. “على الرغم من أننا نميل إلى الاعتقاد بأن ملحقات المتصفح غير ضارة، إلا أنه من الناحية العملية، يتم منحها في كثير من الأحيان أذونات واسعة النطاق لمعلومات المستخدم الحساسة مثل ملفات تعريف الارتباط ورموز الوصول ومعلومات الهوية والمزيد.

يقول إشيد: “لا تعرف العديد من المؤسسات حتى ما هي الامتدادات التي قامت بتثبيتها على نقاط النهاية الخاصة بها، ولا تدرك مدى تعرضها للاختراق”.

بمجرد ظهور أخبار اختراق Cyberhaven، تم التعرف سريعًا على الملحقات الإضافية التي تم اختراقها أيضًا وتتواصل مع نفس خادم القيادة والتحكم.

جيمي بلاسكو، المدير التنفيذي للتكنولوجيا في شركة الأمن SaaS Nudge Security، تحديد مجالات إضافية حل إلى نفس عنوان IP الخاص بخادم القيادة والتحكم المستخدم في اختراق Cyberhaven.

تشمل ملحقات المتصفح الإضافية المشتبه في تعرضها للاختراق حاليًا ما يلي:

• مساعد الذكاء الاصطناعي – ChatGPT وGemini لمتصفح Chrome
• ملحق الدردشة Bard AI
• ملخص GPT 4 مع OpenAI
• ابحث عن مساعد Copilot AI لمتصفح Chrome
• مساعد TinaMINd للذكاء الاصطناعي
• واين منظمة العفو الدولية
• VPNCity
• إنترنكست VPN
• مسجل فيديو فيندوز فليكس
• برنامج تنزيل الفيديو VidHelper
• المرجعية المفضلة مبدل
• كاستوروس
• يوفويس
• وضع القارئ
• محادثات الببغاء
• بريموس

تشير هذه الملحقات الإضافية المخترقة إلى أن Cyberhaven لم يكن هدفًا لمرة واحدة ولكنه جزء من حملة هجوم واسعة النطاق تستهدف ملحقات المتصفح المشروعة.

يشير تحليل Cyberhaven المخترق إلى أن التعليمات البرمجية الضارة استهدفت بيانات الهوية ورموز الوصول لحسابات Facebook، وتحديدًا حسابات Facebook التجارية:

بيانات المستخدم التي تم جمعها بواسطة ملحق متصفح Cyberhaven المخترق (المصدر: Cyberhaven)

يقول Cyberhaven أنه تمت إزالة الإصدار الضار من ملحق المتصفح بعد حوالي 24 ساعة من نشره. تم أيضًا تحديث بعض الإضافات المكشوفة الأخرى أو إزالتها من سوق Chrome الإلكتروني.

ومع ذلك، فإن حقيقة إزالة الامتداد من متجر Chrome لا تعني أن العرض قد انتهى، كما يقول Or Eshed. ويقول: “طالما أن النسخة المخترقة من الامتداد لا تزال موجودة على نقطة النهاية، فلا يزال بإمكان المتسللين الوصول إليها واستخلاص البيانات”.

ويواصل الباحثون الأمنيون البحث عن ملحقات إضافية مكشوفة، ولكن تعقيد ونطاق حملة الهجوم هذه أدى إلى زيادة الرهان بالنسبة للعديد من المؤسسات لتأمين ملحقات المتصفح الخاصة بها.