احتيال عبر Chrome: إضافات خبيثة تستهدف بيانات الشركات

تم اكتشاف حملة جديدة تستخدم إضافات Chrome خبيثة على متجر Chrome Web Store، تتنكر في صورة أدوات إنتاجية وأمنية لمنصات الموارد البشرية وتخطيط موارد المؤسسات (ERP). تقوم هذه الإضافات بسرقة بيانات اعتماد المصادقة أو حظر صفحات الإدارة المستخدمة للاستجابة للحوادث الأمنية.

اكتشاف الحملة الخبيثة

اكتشفت شركة الأمن السيبراني Socket هذه الحملة، وأشارت إلى أنها حددت خمس إضافات Chrome تستهدف Workday و NetSuite و SAP SuccessFactors، وقد تم تثبيتها بشكل جماعي أكثر من 2300 مرة.

توضح Socket أن "الحملة تنشر ثلاثة أنواع متميزة من الهجمات: استخراج ملفات تعريف الارتباط إلى خوادم بعيدة، والتلاعب بـ DOM لحظر صفحات إدارة الأمان، وحقن ملفات تعريف الارتباط ثنائي الاتجاه لاختطاف الجلسة المباشر."

وتضيف Socket أن "الإضافات تستهدف نفس منصات المؤسسات وتشارك قوائم الكشف عن أدوات الأمان المتطابقة وأنماط نقاط نهاية API وهياكل التعليمات البرمجية، مما يشير إلى عملية منسقة على الرغم من ظهورها كناشرين منفصلين."

تفاصيل الإضافات الخبيثة

تم نشر الإضافات تحت أسماء مختلفة، ولكن الباحثين يقولون إنها تشترك في نفس البنية التحتية وأنماط التعليمات البرمجية والاستهداف. تم نشر أربع من الإضافات تحت اسم المطور databycloud1104، بينما استخدمت الخامسة علامة تجارية مختلفة تحت اسم Software Access.

على الرغم من أن الإضافات أثرت على 2300 مستخدم فقط، إلا أن سرقة بيانات اعتماد المؤسسة يمكن أن تغذي هجمات برامج الفدية وسرقة البيانات واسعة النطاق.

تسويق الأدوات للمستخدمين

تقول Socket إن الإضافات تم الترويج لها لمستخدمي منصات الموارد البشرية وتخطيط موارد المؤسسات (ERP)، حيث قدمت نفسها كأدوات مصممة لتحسين الإنتاجية أو تبسيط سير العمل أو تعزيز عناصر التحكم الأمنية.

زعمت العديد من الإضافات أنها توفر وصولاً مبسطًا إلى "الأدوات المتميزة" لـ Workday و NetSuite ومنصات أخرى.

إحدى الإضافات الأكثر شيوعًا، Data By Cloud 2، تم تثبيتها 1000 مرة وتم الترويج لها كلوحة معلومات تقدم أدوات إدارة مجمعة ووصولاً أسرع للمستخدمين الذين يديرون حسابات مؤسسات متعددة.

إضافة أخرى، Tool Access 11، وضعت نفسها كإضافة تركز على الأمان والتي من شأنها تقييد الوصول إلى الميزات الإدارية الحساسة. زعم إدراجها أن الامتداد يمكن أن يحد من تفاعلات المستخدم مع "الأدوات الخاصة" لمنع اختراق الحساب.

استخدمت الإضافات الأخرى في المجموعة لغة مماثلة حول توفير "الوصول" إلى الأدوات والخدمات، وطلبت أذونات بدت متوافقة مع عمليات تكامل المؤسسات.

ومع ذلك، تقول Socket إن أياً من الإضافات لم تكشف عن استخراج ملفات تعريف الارتباط أو استخراج بيانات الاعتماد أو حظر صفحات إدارة الأمان. كما أن سياسات الخصوصية الخاصة بالإضافات لم تذكر أن بيانات المستخدم سيتم جمعها.

مقالات ذات صلة

الأمن السيبراني

ثغرة مفاتيح Google API تهدد بيانات Gemini AI بالتعرض (2026)

منذ 12 ساعة 0

الأمن السيبراني

تحذير: ثغرتان خطيرتان بـ Trend Micro Apex One تتيحان RCE (2025)

منذ 15 ساعة 0

الأمن السيبراني

ManoMano: تسريب بيانات 38 مليون عميل عبر طرف ثالث (2026)

منذ 16 ساعة 0

الأمن السيبراني

تحذير: ثغرة Juniper PTX تتيح اختراقاً كاملاً للموجهات 2026

منذ 16 ساعة 0

الأمن السيبراني

أول مشروع لـ Raspberry Pi Zero: حظر الإعلانات بشبكتك بفعالية

منذ 17 ساعة 0

الأمن السيبراني

أولمبيك مارسيليا يؤكد اختراق بيانات 400 ألف مشجع

منذ 17 ساعة 0

السلوك الخبيث للإضافات

وجد تحليل Socket للإضافات أنها استخدمت مزيجًا من السلوك الخبيث، بما في ذلك استخراج ملفات تعريف ارتباط المصادقة وحظر الصفحة الإدارية واختطاف الجلسة عبر حقن ملفات تعريف الارتباط.

قامت العديد من الإضافات باستمرار باستخراج ملفات تعريف ارتباط المصادقة المسماة "__session" لمجال مستهدف، والتي تحتوي على رموز تسجيل دخول نشطة لـ Workday و NetSuite و SuccessFactors. كما تظهر الصورة المرفقة.

تم تسريب هذه الرموز كل 60 ثانية إلى خوادم تحكم وأوامر بعيدة، مما يسمح للمهاجمين بالحفاظ على الوصول حتى عندما قام المستخدمون بتسجيل الخروج وتسجيل الدخول مرة أخرى.

قامت إضافتان، Tool Access 11 و Data By Cloud 2، بحظر الوصول إلى صفحات الأمان والاستجابة للحوادث داخل Workday. باستخدام الكشف عن عنوان الصفحة، قامت الإضافات إما بمسح المحتوى الموجود على الصفحات أو إعادة توجيه المسؤولين من صفحات الإدارة.

توضح Socket أن "Tool Access 11 تستهدف 44 صفحة إدارية بما في ذلك سياسات المصادقة وتكوين وكيل الأمان وإدارة نطاق IP وعناصر التحكم في الجلسة."

تضيف: "تقوم Data By Cloud 2 بتوسيع هذا إلى 56 صفحة عن طريق إضافة إدارة كلمات المرور وإلغاء تنشيط الحساب وعناصر التحكم في جهاز 2FA وسجلات تدقيق الأمان."

يمكن أن يؤدي حظر الوصول إلى هذه الصفحات إلى منع المسؤولين الشرعيين من الاستجابة للحوادث الأمنية في حالة اكتشافها.

اختطاف الجلسات

أخيرًا، تقول Socket إن امتداد Software Access طبق السلوك الأكثر خبثًا من خلال تضمين ميزة تسمح أيضًا بمعالجة ملفات تعريف الارتباط ثنائية الاتجاه. بالإضافة إلى سرقة رموز الجلسة، يمكن للامتداد استقبال ملفات تعريف الارتباط المسروقة من خادم المهاجم وحقنها مباشرة في المتصفح.

يقول الباحثون إنه من خلال تعيين ملفات تعريف ارتباط المصادقة عبر C2، يمكن للمهاجمين السيطرة على الجلسات المصادق عليها دون إدخال أسماء المستخدمين أو كلمات المرور أو رموز المصادقة متعددة العوامل. تقول Socket إن هذا مكن من الاستيلاء الفوري على الحساب عبر منصات المؤسسات المستهدفة.

أفادت Socket أنها أبلغت Google بالإضافات، وفي وقت نشر هذا المقال، يبدو أنها قد أزيلت.

يجب على أي شخص كان يستخدم هذه الإضافات إبلاغ مسؤولي الأمان لديهم لمزيد من الاستجابة للحوادث وتغيير كلمات المرور الخاصة بهم على الأنظمة الأساسية المستهدفة.